Business Continuity Management
Garantie voor succes?
Afstudeerscriptie Teamnummer 1020 Postgraduate IT Audit Opleiding Vrije Universiteit Amsterdam september 2010
1. Voorwoord
Deze scriptie is geschreven in het kader van het afstuderen voor de opleiding Postgraduate IT Audit aan de Faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit in Amsterdam. De scriptie gaat over het onderwerp ‘Business Continuity Management’, en wel over de bepalende factoren voor de effectiviteit van de reactie van een organisatie op een (dreigende) verstoring van haar kritieke dienstverlening. Deze scriptie is het resultaat van een periode van intensieve werkzaamheden met de nodige hoogteen dieptepunten. Door de vele uren lezen praten en schrijven, is het familieleven de laatste tijd wat minder aan bod gekomen. Het eindresultaat is in belangrijke mate bepaald door hulp en steun van anderen. Allereerst gaat onze dank uit naar onze scriptiebegeleider, de heer Cees Coumou. Hij heeft ons geholpen gestructureerd aan de slag te gaan en door slechts enkele opmerkingen, voelden we ons steeds de juiste weg op gestuurd. Daarnaast willen wij van deze gelegenheid gebruik maken om ook onze bedrijfsbegeleiders te bedanken, de heren Raymond Scherpenzeel en Meinte Ringia. Tot slot zijn wij de (gast)docenten van de opleiding Postgraduate IT Audit erkentelijk, die ons de afgelopen jaren een grote diversiteit aan informatie op diverse kennisgebieden hebben overgedragen en hiermee hebben bijgedragen aan het verbreden van onze vakkennis. We hebben het volgen van de opleiding als een plezierige en leerzame tijd ervaren.
Harry Cornelissen & Ron Dinmohamed
-1-
2. Inhoudsopgave 1.
Voorwoord .................................................................................................................................................... 1
2.
Inhoudsopgave .............................................................................................................................................. 2
3.
Samenvatting ................................................................................................................................................ 3
4.
Inleiding ........................................................................................................................................................ 5
5.
6.
7.
4.1
Onderzoeksvraag ................................................................................................................................... 5
4.2
Aanpak ................................................................................................................................................... 6
4.3
Bijgestelde aanpak ................................................................................................................................. 7
4.4
Leeswijzer .............................................................................................................................................. 8
Business Continuity Management ............................................................................................................... 9 5.1
Wat is BCM?.......................................................................................................................................... 9
5.2
BCM en Risicomanagement ................................................................................................................. 10
5.3
Doelstellingen in het kader van BCM .................................................................................................. 12
5.4
Certificering ........................................................................................................................................ 13
5.5
De BCM levenscyslus .......................................................................................................................... 14
5.6
De BCM response ................................................................................................................................ 17
5.7
Scope van het onderzoek in relatie tot BCM ........................................................................................ 17
Effectiviteit .................................................................................................................................................. 19 6.1
Definities van effectiviteit .................................................................................................................... 19
6.2
Toepasbaarheid definitie ‘effectiviteit’ voor een BCM response ......................................................... 19
Factoren van invloed op de effectiviteit van de reactie op een ernstige verstoring............................... 21 7.1
Werkwijze ............................................................................................................................................ 21
7.2
Uitkomsten van de interviews met experts ........................................................................................... 22
7.3 Factoren van invloed op de effectiviteit ............................................................................................... 24 7.3.1 BCM doelstellingen in relatie tot de fasering van de reactie op een verstoring .............................. 24 7.3.2 Factoren van invloed op de effectiviteit van de fase ‘Incident Response’ ...................................... 26 7.3.3 Factoren van invloed op de effectiviteit van de fase ‘Business Continuity’.................................... 28
8.
7.4
Conclusie ............................................................................................................................................. 31
7.5
Nawoord en reflectie ........................................................................................................................... 31
Referentielijst .............................................................................................................................................. 33
Bijlage - Interviews ............................................................................................................................................. 34
-2-
3. Samenvatting
Het vakgebied Business Continuity Management (BCM) is gericht op de continuïteit van de kritieke dienstverlening, dus op het bestaansrecht en voortbestaan van organisaties. De belangstelling voor BCM groeit de laatste jaren sterk, onder invloed van ernstige verstoringen door natuurrampen, geweld van terroristen en wereldwijde bedreigingen van de volksgezondheid. Organisaties maken zichzelf weerbaar tegen deze verstoringen, omdat continuïteit een primair doel is van belanghebbenden als financiers, eigenaars en personeel. Ook ontstaat er geleidelijk steeds meer externe druk om iets aan BCM te doen door wet- en regelgeving, ketenpartners en toezichthouders. Tijdens de implementatie van BCM wordt bepaald wat er gedaan moet worden om alle resources te beschermen, die nodig zijn voor de kritieke dienstverlening. Naast bescherming worden er ook maatregelen genomen om deze resources binnen afzienbare tijd weer in voldoende mate beschikbaar te krijgen, in geval ze beschadigd of verloren zijn gegaan. De voorbereiding en de hulpmiddelen van een organisatie om te kunnen reageren op een ernstige verstoring wordt de BCM response genoemd. BCM kost veel inspanning, dus ook veel geld. Het resultaat van die inspanning zou een organisatie moeten opleveren die weerbaar is tegen de verstoringen, waarvoor een BCM response is ontwikkeld en geïmplementeerd. Belanghebbenden zullen op enig moment na implementatie van BCM de vraag stellen, of het gewenste niveau van weerbaarheid ook daadwerkelijk is bereikt. Dit is een vraag naar de beoordeling van de effectiviteit van de geïmplementeerde BCM response. De beantwoording van voorgaande effectiviteitsvraag wordt bemoeilijkt, omdat de beschikbare normen en standaarden voor BCM zijn gericht op het proces, niet op het product. Een toonaangevende norm voor BCM is de British Standard 25999. Certificering tegen deze norm levert een verklaring op, dat de organisatie een proces voor implementatie heeft gevolgd, wat voldoet aan de eisen uit de standaard. Deze verklaring biedt geen garantie dat geïmplementeerde BCM response (product) ook zodanig effectief is, dat de organisatie hiermee haar continuïteitsdoelstellingen zal bereiken bij een ernstige verstoring. Dit onderzoek is opgezet om hulp te bieden bij de beantwoording van de effectiviteitsvraag, door te proberen de bepalende factoren vast te stellen voor de effectiviteit van de BCM response. De uitkomsten van het onderzoek worden in deze samenvatting niet verder toegelicht, omdat wij willen zekerstellen dat de onderkende bepalende factoren gelezen worden in de context van de analyse (paragraaf 7.3). Wel staan wij hier stil bij de toegevoegde waarde en beperkingen bij gebruik van de uitkomsten van het onderzoek. Voor het beoordelen van de effectiviteit van de BCM response is een normenkader nodig. Aanhaken bij een best practice kan niet, want die is er niet voor het product BCM response. Er zal dus “vanaf nul” een normenkader opgebouwd moeten worden. De bepalende factoren en onderliggende elementen (als resultaat van dit onderzoek), bieden ons inziens aanknopingspunten om aan de hand daarvan een normenkader op te stellen. Het is een eerste checklist, met onderwerpen waarvoor iets in normatieve zin gesteld zou kunnen worden. De mate waarin deze factoren en elementen van toepassing zijn, hangt af van de aard van de verstoringen waartegen een organisatie zich wenst te wapenen. Als daarnaast de BCM doelstellingen van de organisatie afwijken van de binnen dit onderzoek gehanteerde generieke continuïteitsdoelstelling, dan vereist dat ook aanpassingen in de analyse met mogelijk andere uitkomsten (in de vorm
-3-
van factoren en elementen) als gevolg.
-4-
4. Inleiding
Business Continuity Management (BCM) is een onderwerp dat steeds vaker op de agenda van bestuurders van organisaties staat. Het management is zich meer en meer bewust van de risico’s die de continuïteit van de business in gevaar brengen. Een organisatie die goed voorbereid is op een ernstige verstoring van de dienstverlening, heeft een grotere kans op overleven of een betere kans om succesvol te zijn ten opzichte van concurrenten, wanneer een calamiteit zich daadwerkelijk voordoet. De markt verwacht en stelt steeds meer en hogere kwaliteitseisen aan producten en diensten, waarbij de beschikbaarheid van de bijbehorende processen en middelen een randvoorwaardelijke factor is. Vanuit wet- en regelgeving wordt meer en meer aandacht gevraagd voor continuïteitsvraagstukken. Ook toezichthouders eisen in toenemende mate aandacht voor BCM; een goed voorbeeld hiervan is De Nederlandsche Bank. De continuïteit van de business wordt aan de aanbodzijde bepaald door de beschikbaarheid van de kritieke processen en middelen. De onderlinge afhankelijkheden van processen worden groter. Zo zijn ondersteunende IT processen geleidelijk steeds meer vervlochten met primaire processen, waardoor activiteiten uit het primaire proces worden verricht zonder menselijke interactie. Door een toename in samenwerkingsverbanden tussen organisaties neemt ook de afhankelijkheid toe van elkaars (primaire) processen. Een toename van onderlinge afhankelijkheid tussen processen heeft tot gevolg dat het sturen op de beschikbaarheid van processen meer complex wordt. Belanghebbenden eisen daarom duidelijkheid over de wijze waarop de continuïteit van de dienstverlening van de organisatie is gewaarborgd. Op dit moment is de British Standard 25999 dé standaard voor BCM in West-Europa. De BS25999 bestaat uit twee delen: (1) BS25999-1:2006 Code of Practice for BCM; de best practices op het gebied van continuïteitsmanagement. (2) BS25999-2:2007 A Specification for BCM; standaard voor implementatie van continuïteitsbeheer, op basis waarvan certificering kan plaatsvinden. BS25999 is een generieke best practice waarbij het uitgangspunt is, dat deze toepasbaar is voor alle soorten organisaties. De mate waarin de afzonderlijke elementen ook zinvol toegepast kunnen worden is afhankelijk van de aard en complexiteit van de organisatie en de omgeving waarin ze opereert. BS25999 kan door professionals gebruikt worden om een BCM Systeem (BCMS) voor een organisatie te ontwikkelen, dat voldoet aan de behoeften van de organisatie en haar belanghebbenden. De standaard biedt daarmee een raamwerk om de ontwikkeling en implementatie van een BCMS te structureren.
4.1 Onderzoeksvraag Sinds eind 2007 is de British Standard Institution (BSI) als eerste instantie wereldwijd geaccrediteerd, om organisaties te certificeren tegen de BS25999. Met het oog op de enorme belangstelling voor deze standaard sinds de introductie in 2006 en de groeiende behoefte aan waarborgen, is het aannemelijk om te stellen dat tegelijkertijd ook de belangstelling voor certificering toeneemt. Een Brits onderzoek uit 2008 onder een groot aantal Europese bedrijven, levert op dat 60% van de Britse
-5-
bedrijven en 28% van de buitenlandse bedrijven de komende jaren bij de implementatie wil voldoen aan de BS25999. [12]1 De BS25999 is allereerst gericht op de kwaliteit van de processen om enerzijds te komen tot response- en continuïteitsplannen2 en anderzijds een organisatie, die bij ernstige verstoringen met deze plannen aan de slag kan. Dit zijn voorbeelden van de eindproducten of uitkomsten van een BCM implementatie. Daarnaast is BS25999 gericht op de processen voor continue verbetering van de zojuist genoemde eindproducten en het onderhoud hierop ten gevolge van gewijzigde omstandigheden. Een BCM implementatie die gecertificeerd is tegen de standaard BS25999, heeft in hoofdzaak een verklaring gekregen, dat is voldaan aan de kwaliteitseisen voor de processen gericht op implementatie en onderhoud van BCM. Certificering geeft geen garantie dat ook de eindproducten van een BCM implementatie optimaal functioneren bij een verstoring van kritieke dienstverleningsprocessen, maar het helpt zeer zeker om dit te bereiken. De effectiviteit van deze eindproducten bepaalt uiteindelijk of de continuïteitsdoelstellingen na een verstoring ook daadwerkelijk worden behaald. Er zijn op dit moment geen standaarden of normen bekend, waartegen de eindproducten van een BCM implementatie kunnen worden getoetst. Een normenkader is een voorwaarde om een oordeel te kunnen geven over de effectiviteit van deze eindproducten. Inzicht in de factoren die belangrijke invloed hebben op de effectiviteit, zou een aanzet kunnen vormen voor de verdere ontwikkeling van een normenkader op dit vlak. Vanuit beide vakgebieden BCM en (IT) Auditing zal de beschikbaarheid van zo’n normenkader toegejuicht worden. Om deze redenen is de volgende onderzoeksvraag opgesteld: “ Welke factoren zijn bepalend voor de effectiviteit van de eindproducten van een BCM implementatie? ” Een decompositie van de onderzoeksvraag leidt tot onderstaande deelvragen: (1) Wat zijn de eindproducten van een BCM implementatie? 3 (2) Wat is effectief in relatie tot de eindproducten van een BCM implementatie? 3 (3) Welke factoren worden meegenomen? (4) Wanneer is een factor bepalend?
4.2 Aanpak Om de onderzoeksvraag te kunnen beantwoorden hebben wij een aanpak geformuleerd met 3 fasen: ‘Literatuurstudie’, ‘Praktijktoets’ en ‘Confrontatie theorie en praktijk’ (inclusief analyse en eventuele bijstelling).
1
De nummers tussen haken [##] zijn verwijzingen naar de referentielijst in hoofdstuk 8 Deze termen zijn niet ontleend aan de BS25999, maar primair gericht op toelichting van de doelstelling van deze plannen om ze begrijpelijk te maken. 3 Binnen de kaders zoals die beschreven zijn in de standaard BS25999, waarbij aanvullende informatie gezocht wordt als de beschikbare informatie in deze standaard onvoldoende expliciet of gedetailleerd is. 2
-6-
Meer in detail bevat deze aanpak de volgende tien stappen: (1) Afbakening scope BCM (2) Onderzoek naar generieke doelstellingen voor BCM (conform BS25999). (3) Vaststellen van mogelijkheden voor concretisering van doelstellingen, gericht op een definitie van ‘beschikbaarheid’ in relatie tot processen en middelen. (4) Afbakening van de scope gericht op de BCM eindproducten: opsomming van vereiste en mogelijke onderliggende plannen met nut & noodzaak per plan, de hierbij betrokken organisatie en hiervoor benodigde middelen. Afhankelijk van de mate van detail van de plannen, zullen ook de specifiek in dit kader gemaakte onderliggende afspraken als BCM eindproducten meegenomen worden. (5) Onderzoek naar de effectiviteit van BCM eindproducten, gericht op: a. Een definitie van ‘effectiviteit’. b. Vaststellen van de toepasbaarheid van de definitie: per eindproduct afzonderlijk of als één geheel. (6) Onderzoek naar factoren van invloed op de effectiviteit: a. Genereren van een relatiediagram met aandachtsgebieden voor het management,die van invloed zijn op de effectiviteit van BCM eindproducten. b. Per aandachtsgebied: vaststellen van de factoren waar het management invloed op heeft en afwegen welke daarvan bepalend zijn voor de effectiviteit. (7) Bedrijven selecteren met voldoende BCM praktijkervaring via beroepsgroeporganisaties, adviesbureaus gespecialiseerd in BCM en certificerende instanties voor de BS25999. (8) Verzoeken om een uitnodiging voor een kennismakingsgesprek, uitmondend in een verzoek om mee te werken aan het praktijkonderzoek; doel: onderzoek naar 3-5 praktijksituaties. Per casus: a. Beoordelen van de BCM doelstellingen en de mate waarin deze afwijken van de uitgangspunten onder (2) en (3). b. Beoordelen van de BCM eindproducten en de mate waarin deze afwijken van de uitgangspunten onder (4). c. Vaststellen of en op welke wijze de voor de effectiviteit belangrijkste invloedfactoren (6b) ingevuld zijn en welke afweging is gemaakt om sommige hiervan buiten beschouwing te laten. (9) Analyse van in de praktijk ontbrekende factoren die uit theoretisch oogpunt bepalend zijn. (10)Theoretische uitgangspunten bevestigen of herzien, conclusies en aanbevelingen opstellen.
4.3 Bijgestelde aanpak Achteraf bezien hebben wij tijdens de fase ‘literatuurstudie’ weinig tot niets gevonden over de effectiviteit van BCM eindproducten en factoren die van invloed zijn op de effectiviteit van deze
-7-
eindproducten. Tevens bleek er in veel mindere mate gedetailleerd materiaal over BCM praktijksituaties beschikbaar te zijn, dan waar oorspronkelijk van was uitgegaan. Tijdens het opstellen van de aanpak in de vorm zoals beschreven in de vorige paragraaf (4.2), is dit materiaal als belangrijke bron onderkend voor het analyseren en vaststellen van de factoren van invloed. Het gevolg hiervan is dat stappen (5) en (6) van de oorspronkelijke aanpak afwijkend zijn ingevuld. Wij hebben voor deze onderwerpen hoofdzakelijk gesteund op ons gezond verstand in combinatie met het raadplegen van experts. Ook de experts zijn overigens terughoudend geweest met het verstrekken van gedetailleerde informatie ten aanzien van praktijkervaringen over ‘wat misging’. De resultaten uit stappen (5) en (6) hebben daardoor een meer beperkte diepgang gekregen, dan verondersteld tijdens het schrijven van de aanpak. Door deze wijzigingen ten aanzien van de literatuurstudie, is ook de praktijktoets anders ingevuld dan vooraf bedacht. Bij een praktijktoets voor meer globale theoretische uitgangspunten ligt de nadruk meer op herkenning dan op waarheidsvinding. De opeenvolgende interviews met experts ontwikkelden zich geleidelijk van raadplegend naar toetsend. De conclusie uit bovenstaande ervaringen tijdens het uitvoeren van het afstudeeronderzoek is, dat de aanpak vanaf stap (6) herzien is. In plaats van een praktijktoets met de veronderstelde zeer concrete praktijksituaties, hebben wij voor deze toets een meer divers gezelschap aan experts benaderd. In interviews met deze experts zijn de theoretische uitgangspunten en een eerste analyse besproken, getoetst en in een aantal gevallen bijgesteld. Deze interviews zijn in de plaats gekomen van de oorspronkelijke stappen (8) tot en met (10). Deze bijstelling in de aanpak heeft ook gevolgen gehad voor de beantwoording van de deelvragen 3 en 4. Deze deelvragen zijn gedefinieerd als tussentijdse resultaten van stappen uit de aanpak. Deelvraag 3 hoort bij stap 6a, deelvraag 4 bij 6b. Aangezien deze stappen met minder diepgang zijn doorlopen dan verondersteld ten tijde van het opstellen van de onderzoeksvraag, heeft dit geleid tot een summiere beantwoording van beide deelvragen in hoofdstuk 7.
4.4 Leeswijzer In hoofdstuk 5 wordt dieper ingegaan op elementen uit het vakgebied BCM. We stellen een definitie vast, gaan in op doelstellingen van BCM en aspecten bij implementatie. Uiteindelijk resulteert dit aan het eind van hoofdstuk 5 in een afbakening van de scope van BCM in relatie tot dit onderzoek. Hoofdstuk 6 behandelt het begrip ‘effectiviteit’ en de toepasbaarheid van dit begrip voor de BCM eindproducten, die binnen de scope van hoofdstuk 5 vallen. In hoofdstuk 7 wordt de analyse beschreven die gebruikt is voor beantwoording van de onderzoeksvraag. Ook vindt verantwoording plaats over de wijze waarop de voor effectiviteit bepalende factoren zijn vastgesteld. Tevens wordt toegelicht welke mogelijkheden wij zien om invloed uit te oefenen op deze factoren voor het management van de organisatie.
-8-
5. Business Continuity Management
5.1 Wat is BCM? Sinds jaar en dag dekken ondernemingen risico’s af op het gebied van de beschikbaarheid van hun dienstverlening. Daar waar begin jaren negentig de nadruk voor continuïteitsbeheer lag op het herstel van de IT dienstverlening (ook wel aangeduid met Disaster Recovery Planning), nam in de jaren daarna het general management van organisaties geleidelijk het stokje over van IT management. Het voorbereiden van bedrijven op potentiële onderbrekingen van bedrijfsprocessen zagen we al gebeuren bij de eeuwwisseling (het Y2K-probleem). Hoewel destijds het leeuwendeel van de voorbereidingen waren gericht op de IT infrastructuur, stonden de mogelijke gevolgen voor de business centraal. De aandacht voor de continuïteit van de dienstverlening kreeg na de eeuwwisseling een flinke impuls, toen zich in een kort tijdsbestek grote natuurrampen (Katrina, Tsunami) en terroristische aanslagen (9/11) voordeden. Daarnaast zijn de effecten van grote stroomstoringen inmiddels pijnlijk duidelijk geworden. En wat te denken van de Grieppandemie die door de Wereldgezondheidsorganisatie werd afgekondigd? Het onderwerp ‘continuïteit van de dienstverlening’ staat daardoor meer en meer op de agenda van het topmanagement bij bedrijven en overheidsorganisaties. Geleidelijk ontstond er in de periode rondom de eeuwwisseling ook meer aandacht in wet- en regelgeving op het gebied van corporate government en risicomanagement; continuïteit van de bedrijfsvoering is hiervan een belangrijke component. Voorbeelden hiervan zijn de Sarbanes-Oxley Act, Code-Tabaksblat en Basel II. Ook zagen wereldwijd standaarden en methodieken het licht om BCM te introduceren en te implementeren. In West Europa had Groot Brittannië het voortouw. In 2003 werd de Publicly Available Specification over BCM (PAS 56) uitgebracht; vanaf 2006 is deze standaard na verdere ontwikkeling opgegaan in de BS25999. De BS25999 is snel na de introductie door veel organisaties in West-Europa geadopteerd. Veel van deze (overheids) bedrijven hebben zich inmiddels voorgenomen om zich aan deze standaard te conformeren. Voor het 2011 staat gepland dat de BS25999 grotendeels in de huidige vorm opgaat in ISO 22301 waarmee de internationale acceptatie van deze standaard bezegeld wordt. Voor het managen van continuïteitsvraagstukken zijn in de loop der jaren veel verschillende termen gebruikt, met als gevolg dat begrippen door elkaar gehaald en gebruikt worden. Termen als ‘Disaster Recovery Planning en ‘IT Service Continuity Management’ hebben betrekking op de continuïteit van de IT dienstverlening zoals hiervoor al aangegeven. Deze processen zijn ondersteunend en wellicht randvoorwaardelijk voor de primaire dienstverlening van een organisatie, tenzij het een IT bedrijf betreft. Bij de onderzoeksopdracht was voorgesteld om maximaal binnen de kaders van de BS25999 te blijven. Hiervoor is al aangegeven dat deze standaard breed is geaccepteerd, waardoor de gehanteerde begrippen en methodiek naar verwachting maximaal zullen aansluiten bij de lezers van dit rapport. Aanvullende informatie wordt gezocht als de beschikbare informatie in deze standaard onvoldoende expliciet of gedetailleerd is. BCM wordt in de BS25999-2 op de volgende wijze gedefinieerd:
-9-
Holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value-creating activities. De BS25999 gaat uit van een holistische benadering. Daarmee benadrukt de standaard dat BCM geen geïsoleerde activiteit is, maar deel uitmaakt van een goede bestuurlijke inrichting van een onderneming, waarbij rekening gehouden wordt met alle relevante facetten van bedrijfsvoering (corporate governance). Uit de definitie van BS25999 wordt duidelijk dat BCM gericht is op het weerbaar maken van de organisatie tegen de invloed van verstoringen op de belangrijkste processen. Opgemerkt wordt dat deze definitie van BCM niet beperkt blijft tot de negatieve invloeden op het leveren van producten en diensten. Ook verstoringen met gevolgen voor imago of reputatie van de organisatie vallen binnen de definitie van de BS25999. Daarmee omvat BCM de verstoringen van zowel het aanbod als die van de vraag naar de producten en diensten, waarvan een organisatie afhankelijk is voor haar voortbestaan. Weerbaar zijn, vereist uitvoering van de juiste acties bij het optreden van een verstoring en het nemen van voorzorgsmaatregelen in de periode daaraan voorafgaand. Om weerbaar te blijven zijn echter ook andere activiteiten noodzakelijk. De BS25999 beschrijft dit met het begrip BCMS, zoals in de hoofdstuk 4 al kort aangeduid. Daarbij wordt steeds een cyclus ter verbetering doorlopen. Het BCMS waarborgt dat BCM binnen de organisatie up-to-date blijft ten gevolge van veranderende omstandigheden en dat er structureel verbeteringen worden doorgevoerd. In dat kader zal duidelijk zijn dat binnen het vakgebied BCM veel waarde gehecht wordt aan oefenen, testen en trainen.
5.2 BCM en Risicomanagement Risicomanagement is het overkoepelende proces om risico’s te analyseren, maatregelen te nemen om de risico’s tot een aanvaardbaar niveau terug te brengen, en het vereiste risiconiveau te onderhouden. Risicomanagement is het risicobeheerproces van het management, zowel op strategisch vlak als tactisch en operatoneel ten aanzien van de procesgang binnen de organisatie. Waar risicomanagement staat voor het beheer van alle mogelijke risico’s binnen een organisatie, richt BCM zich op de risico’s die de continuïteit van de dienstverlening in het gedrang kunnen brengen. Volgens deze redenering maakt BCM integraal deel uit van risicomanagement. Naar verluid zien sommigen1 risicomanagement daarentegen eerder als een onderdeel van een overkoepelende aanpak van BCM; wij delen deze zienswijze niet. De in de analyse onderkende risico´s worden door middel van maatregelen tot een acceptabel niveau teruggebracht. Een ordening helpt om een juiste keuze te maken ten aanzien van de te nemen acties. Daartoe wordt in een zogenaamde risicomatrix op de assen de enkelvoudige schadeverwachting per dreiging uitgezet tegen de verwachte frequentie van optreden [05]. Door de dreigingen voorkomend uit de analyse op deze twee elementen te beoordelen en onderling ten opzichte van elkaar te ordenen, kan een afweging gemaakt worden welke dreigingen met voorrang aangepakt moeten worden en welke soort maatregelen de voorkeur verdient. In de volgende figuur is een risicomatrix getekend, met daarin per cel een vermelding van de mogelijke actie.
1
Wij hebben hiervoor geen rechtstreekse bronnen gevonden, alleen een indirecte verwijzing.
- 10 -
De dreigingen met een hoge verwachte frequentie van optreden en hoge gevolgschade worden als eerste aangepakt. De dreigingen uit het tegenoverliggende kwadrant (‘laag/laag’) zullen in eerste instantie geen aandacht behoeven, omdat de gevolgen voor de organisatie beperkt zijn. In de overige twee kwadranten is een voorkeur weergegeven ten aanzien van de aard van de te treffen maatregelen (preventief vs. repressief) om het betreffende risico te verminderen. Een preventieve maatregel is bij een lage frequentie van voorkomen op het eerste gezicht minder doelmatig dan een repressieve maatregel, en omgekeerd. Dit is niet meer dan een voorkeur: per dreiging zal telkens opnieuw een afweging gemaakt worden van de te nemen maatregel(en). BCM is gericht zich op dreigingen met een hoge enkelvoudige schadeverwachting en heeft als doel om de organisatie weerbaar te maken voor verstoringen, die het voortbestaan in gevaar brengen. Repressieve maatregelen zijn gericht op het stoppen van de gevolgen van een incident; preventieve maatregelen hebben juist tot doel om incidenten te voorkomen. Vanuit deze invalshoek stellen wij dat BCM met name gericht is op de repressieve maatregelen om te acteren op een (dreigende) verstoring van de kritieke dienstverlening. Wij pleiten hiermee overigens niet voor harde uitsluiting van preventieve maatregelen bij de afbakening van het vakgebied BCM. Voor het reduceren van een risico worden per dreiging vaak meerdere maatregelen in samenhang getroffen. Omwille van de bewaking van diezelfde samenhang, is het niet verstandig om de bijbehorende preventieve maatregelen“in een ander vakje te stoppen”. Andere afbakeningen van BCM betreffen de uitsluiting van verstoringen, die geen impact hebben op de kritieke processen van de organisatie en daarom niet ernstig genoeg zijn om het voortbestaan van de organisatie in gevaar te brengen. Ook worden in de literatuur [14] risico’s op verstoringen die niet plotseling optreden buiten de scope van BCM gehouden. Als reden hiervoor wordt opgegeven, dat er andere (reguliere) beheerprocessen beschikbaar zijn om deze verstoringen te verhelpen. Wij nemen de afbakening met betrekking tot de snelheid van de verstoring niet over. Ook verstoringen die geleidelijk in omvang toenemen, kunnen escaleren tot een crisis. Als een incident door een behandelaar niet binnen een vooraf bepaald tijdsinterval kan worden opgelost, dan escaleert zo’n incident. De escalatie start zodra duidelijk wordt, dat er geen oplossing gecreëerd kan worden binnen de normtijd voor afhandeling. De normtijd wordt in het algemeen kleiner gesteld naarmate de impact van de verstoring toeneemt. Bij voldoende zwaarwegende verstoringen wordt bij escalatie het proces ‘crisismanagement’ geactiveerd; dit is onafhankelijk van de snelheid waarmee de verstoring zich openbaart.
- 11 -
5.3 Doelstellingen in het kader van BCM De doelen die organisaties voor ogen hebben bij het inrichten van BCM kunnen divers zijn. De drijfveer voor organisaties om een BCM traject starten kan zowel vanuit de interne organisatie als vanuit de omgeving ontstaan. Management dat namens de directe belanghebbenden van een organisatie (eigenaren, financiers en personeel) de overtuiging heeft, dat het voortbestaan van de organisatie niet in gevaar mag komen door het onbewust negeren van risico’s, start vanuit een interne prikkel een BCM traject. Er zijn echter ook externe drijfveren die ervoor kunnen zorgen dat organisaties aan BCM beginnen. Vanuit de wet- en regelgeving worden organisaties richting gegeven ten aanzien van corporate governance (SOX, Code Tabaksblat), waarbij is inbegrepen de aandacht op het gebied van de continuïteit van de organisatie. De wet- en regelgeving is echter (nog) niet zodanig, dat organisaties worden gedwongen om BCM structureel in te voeren. Een positieve uitzondering hierop betreft de financiële sector. De Nederlandsche Bank heeft bijvoorbeeld richtlijnen uitgevaardigd voor financiële ondernemingen om maatregelen te nemen in het kader van BCM. [13] In de Verenigde Staten zijn na de terroristische aanslagen door de overheid aanbevelingen gedaan om organisaties zich te laten voorbereiden op calamiteiten.[11] Hoewel deze aanbevelingen worden bestempeld als vrijwillig, worden ze binnen een branche veelal als dwingend ervaren door het acteren van de ketenpartners onderling. Ketenpartners met veel macht dwingen anderen om maatregelen te nemen op het gebied van continuïteit, om daarmee hun eigen toeleveringen of afzet te beschermen. Om geen klanten of leveranciers te verliezen starten de anderen dan een BCM traject en zullen op termijn via certificering moeten aantonen dat ze goed voorbereid zijn. Zoals met veel zaken, is het ook op dit punt goed denkbaar dat deze tendens overkomt naar Europa. Organisaties die veel die zaken doen in de Verenigde Staten zullen er als eerste mee te maken krijgen. Een andere mogelijk externe drijfveer is dat Business Continuity de komende periode een hype wordt, vergelijkbaar met ISO9000 in de jaren 1980-1990. Een ander voorbeeld van een hype in de afgelopen periode is de invoering van ERP. Ondernemers en managers blijken sterk beïnvloedbaar door informele contacten met soortgenoten. Succesvolle verhalen kunnen plotseling leiden tot onverwachte impulsen. Het onderwerp BCM staat volop in de belangstelling. Tot op heden hebben we echter geen concrete signalen ontvangen, dat in Nederland zich een BCM hype aan het ontwikkelen is. Hoewel externe prikkels prima zijn om te starten met het nemen van continuïteitsmaatregelen, zijn wij van mening dat een BCM implementatie op termijn niet vol te houden is, zonder een intern gerichte overtuiging van de noodzaak hiertoe. BCM vereist een diepgang van plannen en maatregelen, waarbij niets aan het toeval overgelaten kan en mag worden. Dat kost veel inspanning en geld, maar dat is de enige manier om nu alvast zekerheden te creëren binnen een eventueel optredende toekomstige chaos. In de BS25999 wordt de doelstelling ten aanzien van de continuïteit van de bedrijfsvoering opgebouwd uit drie elementen. Allereerst wordt er een maximum tijdsinterval gesteld, waarbinnen de kritieke processen weer moeten functioneren; dit wordt aangeduid met Recovery Time Objective (RTO). Het is voorstelbaar dat de dienstverlening na de eerste herstelacties niet noodzakelijkerwijs direct op volle kracht hoeft te draaien. Het is daarom van belang om, in combinatie met de RTO, tevens het hieraan gekoppelde minimale niveau van dienstverlening vast te stellen. Uiteindelijk is er meestal ook een limiet gesteld ten aanzien van het tijdsinterval vanaf het ontstaan van de verstoring, waarbinnen de kritieke dienstverlening weer als vanouds zal moeten functioneren. Deze grens wordt - 12 -
‘Maximum Tolerable Period of Disruption’ (MTPD) genoemd; de RTO is in de MTPD inbegrepen. In de volgende figuur is een en ander schematisch weergegeven. [01]
Een meetbare doelstelling voorkomt discussie over de beoogde resultaten. Deze doelstelling zal in alle gevallen afgeleid worden van de mate waarin de voor de organisatie kritieke dienstverlening tijdelijk verstoord mag worden, zonder dat dit consequenties heeft voor het voorbestaan van de organisatie. Zodra deze eisen bekend zijn, kunnen de continuïteitseisen voor de resources hiervan afgeleid worden. Dit gebeurt aan de hand van de voor de kritieke dienstverlening benodigde processen en de onderlinge samenhang tussen de processen. Deze afgeleide continuïteitseisen vormen de basis om een set aan passende maatregelen te selecteren om de vereiste beschikbaarheid van de resources te waarborgen.
5.4 Certificering Wij kunnen ons voorstellen dat het management na implementatie op een zeker moment behoefte heeft aan een onafhankelijk oordeel op de vraag, of het beoogde resultaat ook is behaald. Onafhankelijke oordeelsvorming hoeft niet per sé door een externe partij uitgevoerd te worden. Een interne auditafdeling is hiertoe ook prima in staat, mits deze afdeling voldoende expertise beschikbaar heeft op het vakgebied van BCM en de rol tijdens implementatie hiermee niet conflicteert. In veel gevallen zal een vraag naar een onafhankelijk oordeel bij externe partijen gelegd worden. Wellicht dat deze tendens overgewaaid is vanuit het vakgebied Kwaliteit Management. Omdat gebruik gemaakt wordt van een breed geaccepteerde standaard, ligt het voor de hand om samen met het onafhankelijk oordeel ook een certificaat te vragen of af te geven. Zo’n certificaat heeft met name ook extern gericht toegevoegde waarde. Sinds de jaren 80-90 van de vorige eeuw maken bijvoorbeeld verkregen ISO 9000 certificaten nadrukkelijk deel uit van reclame-uitingen op folders en transportmiddelen. Door verdere toename van druk om “iets aan BCM te doen”, zien we wellicht ook voor het onderwerp BCM de komende jaren reclame-uitingen een soortgelijke ontwikkeling doormaken. Sinds 2008 kunnen organisaties de implementatie van een BCMS laten certificeren tegen de standaard BS25999-2. BSI was de eerste partij die zo’n certificaat kon verlenen; inmiddels zijn er meer instanties voor certificatie tegen deze standaard. Bij de behandeling van de onderzoeksvraag in paragraaf 4.1, is al kort aangestipt dat certificering van een BCM implementatie in hoofdzaak een verklaring is, dat is voldaan aan de kwaliteitseisen voor de processen gericht op implementatie en onderhoud van BCM.
- 13 -
Een interview dat wij hadden met een vertegenwoordiger van BSI, heeft opgeleverd dat de diepgang van een onderzoek in het kader van certificering beperkt blijft. Het is irreëel om uit een verkregen certificaat de conclusie te trekken, dat de organisatie ook daadwerkelijk in staat zal zijn om effectief op verstoringen te reageren. Op basis van het voorgaande concluderen wij dat een BCM certificaat tegen de BS25999 veelzeggend is over het gevolgde proces, maar weinig tot niets garandeert in relatie tot de kwaliteit van het product of eindresultaat. Eenzelfde soort beperking heeft in het verleden frustraties opgeleverd bij organisaties met een ISO 9000 certificaat, door verhalen zoals die over de fabricage van een “betonnen zwemband”. Op zich is dat reden genoeg om te beargumenteren dat de BS25999 niet de hype zal worden in een omvang, als die destijds rondom ISO 9000 heerste.
5.5 De BCM levenscyslus In de inleiding hebben we gesteld dat de BS25999 toepasbaar is voor alle soorten organisaties en dat de mate waarin de afzonderlijke elementen ook zinvol toegepast kunnen worden, afhankelijk is van de aard en complexiteit van de organisatie en de omgeving waarin deze opereert. De BS25999 kan gebruikt worden om een BCMS te ontwikkelen en te implementeren, wat voldoet aan de behoeften van de organisatie en haar belanghebbenden . BS25999-1: Code of Practice for BCM bevat hiertoe een raamwerk, de BCM levenscyclus, bestaande uit een zestal elementen, die onafhankelijk van het type organisatie in enige vorm aan bod komen. De elementen van de BCM levenscyclus zijn in de volgende figuur weergegeven.
o
BCM programma management
Het BCM programma management vormt het hart van een BCM implementatie. Het heeft als doelstelling om de organisatie zich BCM eigen te laten maken en het ontwikkelde BCM gedachtegoed te verankeren. De wijze waarop BCM binnen een organisatie wordt benaderd, is sterk afhankelijk van de grootte en complexiteit van de organisatie. In alle gevallen is de participatie van het topmanagement essentieel om er voor zorg te dragen, dat het BCM proces wordt ingevoerd conform het geformuleerde beleid. Actieve deelname van het management waarborgt het draagvlak binnen
- 14 -
de organisatie. Daardoor wordt BCM blijvend ondersteund en gaat het uiteindelijk deel uitmaken van de cultuur binnen de organisatie. Meer specifiek worden door middel van het BCM programma de volgende drie onderdelen geregeld: (1) het beleggen van verantwoordelijkheden en bevoegdheden binnen de organisatie voor BCM, (2) het ontwerpen, opstellen en implementeren van Business Continuity op basis van het vastgestelde beleid en (3) alle activiteiten benodigd voor het verankeren van BCM binnen de organisatie, inclusief aanpassingen van BCM aan gewijzigde omstandigheden en de zorg voor documentatie. Rondom het element ‘BCM programma management’ staan een viertal elementen getekend in voorgaande figuur. Deze elementen worden iteratief doorlopen en zijn vergelijkbaar met de generieke stappen van een Kwaliteit Management Systeem (Plan/Do/Check/Act), gericht op continue verbetering. Binnen de BCM levenscyclus zijn deze stappen iets afwijkend verdeeld, maar de doelstelling is vergelijkbaar: het levendig houden en verbeteren van BCM binnen de organisatie.
o
Organisatieverkenning
De activiteiten binnen het element ‘Organisatieverkenning’ leveren informatie op over de producten en diensten, die bepalend zijn voor het voortbestaan van de organisatie. Als daarna vastgesteld is welke processen noodzakelijk zijn voor het leveren van de betreffende producten en diensten, ontstaat een basis om richting te geven aan een BCM programma wat afgestemd is op de doelstellingen van de organisatie. Op basis van de samenhang tussen de kritieke producten en diensten en de hiervoor benodigde bedrijfsprocessen wordt een zg. Business Impact Analyse (BIA) uitgevoerd. Op deze wijze worden voor elke activiteit de gevolgen van een eventuele onderbreking vastgesteld. Hieruit ontstaat een set aan kritieke activiteiten, waarvoor normen afgeleid worden ten aanzien van de maximale hersteltijd en het minimum niveau van opereren. Tevens wordt er voor deze kritieke activiteiten een inschatting gemaakt van de resources, die vereist zijn voor uitvoering (mensen, locatie, technologie, informatie en toeleveringen). Vervolgens worden de bedreigingen ten aanzien van de kritieke resources door middel van een risicoanalyse bepaald. De uitkomsten worden gebruikt om maatregelen te selecteren. Indien de risico’s dermate groot zijn dat ze door het management niet geaccepteerd worden, worden maatregelen voorgesteld. Deze maatregelen (a) verkleinen de kans op verstoring, of (b) verkorten de periode van een onderbreking, of (c) beperken de gevolgen van de verstoring voor de kritieke producten en diensten. Business Continuity richt zich met name op de categorieën maatregelen (b) en (c).
o
Bepalen van de BCM strategie
Dit element van de BCM levenscyclus is een logisch vervolg op de Organisatieverkenning. Met de uitkomsten van de BIA en de risicoanalyse, is de organisatie in staat om passende continuïteitstrategieën te kiezen. Passend wil in dit geval zeggen dat de organisatie haar doelstellingen bereikt door continuïteit in de levering van haar kritieke producten en diensten, op een acceptabel niveau (qua aantallen) en met minimale onderbrekingen in de tijd. Zoals bij het element ‘Organisatieverkenning’ al genoemd, betreffen de risico’s (en dus ook de maatregelen) de resources, benodigd voor de productie en levering van de kritieke producten en diensten. De strategieën in het kader van BCM zijn met name gericht op het afzwakken van, en het - 15 -
weerbaar maken van de organisatie tegen de gevolgen van verstoringen. BS25999 geeft aan dat de keuze voor de meest geschikte strategie(ën) afhankelijk is van een aantal factoren, zoals de maximaal acceptabele periode van onderbreking van een activiteit en de kosten om een strategie te implementeren. De standaard benadrukt om vooral waakzaam te zijn voor oplossingen, die door dezelfde verstoring nadelig beïnvloed kunnen worden als die waardoor de kritieke dienstverlening zelf onderbroken is.
o
Ontwikkelen en implementeren van een BCM response
Dit onderdeel heeft betrekking op de ontwikkeling en implementatie van geschikte plannen en bijbehorende voorzieningen, om daarmee het geëscaleerde incident te managen en de continuïteit van de kritieke bedrijfsprocessen te waarborgen, binnen de vooraf vastgestelde grenzen. Het eindresultaat is een raamwerk of structuur met uitgewerkte plannen voor de fasen ‘Incident Response’ (Incident Management Plan, IMP), ‘Business Continuity’ (Business Continuity Plan, BCP) en ‘Business Recovery’ (Business Resumption Plan, BRP). Het IMP is de leiddraad voor het proces crisismanagement, het BCP is het plan voor het herstel van de kritieke dienstverlening tot het minimaal acceptabele niveau (of daarboven), het BRP biedt richtlijnen voor de overgang ‘business-asusual’. Een IMP en BMP zijn in enige vorm voor alle organisaties vereist; de ontwikkeling van een BRP blijft vaker achterwege, omdat ‘business-as-usual’ niet meer mogelijk is door de aard en omvang van de verstoring. Ook is denkbaar dat organisaties voor langere tijd een lagere niveau van dienstverlening accepteren, waardoor de tijd genomen wordt om een BRP op te stellen na het minimale herstel van de kritieke dienstverlening. De genoemde plannen regelen en beschrijven de volgende aspecten: doel en scope van het plan, rollen en verantwoordelijkheden van sleutel personen voor uitvoering van het plan, de wijze waarop het plan geactiveerd wordt, de eigenaar en beheerder van de documentatie en de belangrijkste contactgegevens.
o
Oefenen, beoordeling en onderhoud
De achterliggende gedachten voor dit element zijn divers. Enerzijds worden het bestaan en de werking gevalideerd van de in het kader van BCM getroffen voorzieningen procedures en maatregelen. Anderzijds wordt hiermee gewaarborgd dat werkwijze en documentatie aangepast worden aan tussentijdse wijzigingen en ontwikkelingen. Oefening zorgt daarnaast voor een ingewerkt team, het bevordert de ontwikkeling van de vereiste competenties en het vertrouwen om onder extreme omstandigheden te kunnen presteren.
o
Inbedden van BCM in de cultuur van de organisatie
Om succesvol te zijn moet BCM een vast onderdeel uitmaken van de bedrijfsvoering binnen de organisatie. In elk stadium van de levenscyclus zijn er mogelijkheden om nut en noodzaak van BCM te verkondigen en belijden tot in de haarvaten van de organisatie. De top van de organisatie heeft de sleutel in handen voor bewustwording en draagvlak ten aanzien van BCM binnen het bedrijf. Actief gebruik van communicatie en training is hierbij een belangrijke ondersteuning. De BCM levenscyclus eindigt nooit. De implementatie en instandhouding van BCM is in feite één grote voorbereiding voor de organisatie, om klaar te staan voor mogelijk toekomstig onheil met risico’s voor het voortbestaan van de organisatie. Op zo’n moment moeten de sleutelpersonen binnen de BCM organisatie terug kunnen vallen op voorzieningen en plannen, waarmee een - 16 -
effectieve reactie op de verstoring gegeven kan worden, inclusief de gevolgen hiervan voor de dienstverlening.
5.6 De BCM response In de hiervoor beschreven BCM levenscyclus van de BS25999 is het element ‘Ontwikkelen en implementeren van een BCM response’ behandeld. Het begrip ‘BCM response’ wordt in de standaard niet separaat gedefinieerd. Met dit begrip wordt gedoeld op een structuur voor een passende reactie na een opgetreden verstoring. De BS25999-1 benadrukt de beschikbaarheid van plannen bij het hoofdstuk over de ontwikkeling en implementatie van een BCM response. In de BS25999 worden drie fasen onderscheiden binnen het tijdspad van de reactie op een verstoring: ´Incident Response´, ´Business Continuity´ en ´Recovery/Resumption - Back-to-normal’. Incident Response heeft als doel om de verstoring te bestrijden en de gevolgen hiervan voor de organisatie te beperken. In deze fase staat crisismanagement centraal. Crisismanagement heeft in deze fase feitelijk de leiding over de organisatie en legt na afloop hierover verantwoording af, bij de overdracht van de leiding naar het reguliere management. De fase ‘Business Continuity’ start pas wanneer de verstoring zodanig beheerst is, dat hieruit geen nieuwe gevolgen voor de kritieke bedrijfsprocessen voortkomen. Het Crisis Management Team (CMT) zal deze activiteiten in veel gevallen blijven coördineren. Voor de daadwerkelijke uitvoering zijn andere personen nodig dan in de voorgaande fase. Het zijn proces- en productspecialisten die onder druk en met beperkte middelen de herstelactiviteiten van de verstoorde kritieke bedrijfsprocessen voor hun rekening nemen. Afhankelijk van de verstoring, starten de herstelwerkzaamheden op een uitwijklocatie. Recovery/Resumption - Back-to-normal’ is als fase van toepassing, indien tijdens fase Business Continuity de dienstverlening niet op het oorspronkelijke niveau is terug gebracht. Een andere reden voor deze fase is de verstoring van niet-kritieke bedrijfsprocessen. De definitie van ‘Back-to- normal’ is afhankelijk van de aard en omvang van het incident. Als bijvoorbeeld de vestigingslocatie verwoest is door een natuurramp, dan is het maar de vraag of dezelfde locatie gebruikt gaat worden voor herstel of nieuwbouw. De BS25999 beperkt zich tot identificatie van deze fase; er zijn nagenoeg geen richtlijnen voor Recovery/Resumption uitgewerkt.
5.7 Scope van het onderzoek in relatie tot BCM Tot slot van dit hoofdstuk wordt aan de hand van het voorgaande de scope van dit onderzoek nader toegelicht en in perspectief geplaatst. Hiermee geven wij tevens een antwoord op de eerste deelvraag ‘Wat zijn de eindproducten van een BCM implementatie?’. Bij de beschrijving van de onderzoeksvraag (paragraaf 4.1) staat de effectiviteit van de eindproducten van een BCM implementatie centraal. Op het moment dat deze onderzoeksvraag is opgesteld, hadden wij nog amper kennis genomen van beschikbare literatuur over BCM. In de aanloop naar de formulering van de onderzoeksvraag worden twee voorbeelden van deze BCM eindproducten gegeven: (1) response- en continuïteitsplannen en (2) de organisatie, die bij ernstige verstoringen met deze plannen aan de slag kan. Op een hoog aggregatieniveau kan gesteld worden, dat de eindproducten van een BCM implementatie alle zaken omvatten, die nodig zijn om als organisatie een adequate reactie te kunnen geven op een ernstige verstoring van de dienstverlening. Deze omschrijving van BCM eindproducten heeft veel raakvlakken met de BCM response binnen de BS25999. De standaard werkt vervolgens
- 17 -
met name de plannen per fase uit met een scope, die breder is dan alleen een draaiboek voor betreffende fase. Daar waar de BS25999 niet expliciet is voor wat betreft de scope van een BCM response, kiezen wij binnen dit onderzoek voor een ruime interpretatie van het begrip ‘BCM response’, namelijk: een allesomvattende structuur ter ondersteuning van de reactie op een ernstige verstoring. Zo rekenen wij, naast de reeds genoemde plannen, ook tot de BCM response: (1) de maatregelen ter waarborging van de beschikbaarheid van de benodigde resources voor uitvoering van de plannen en kritieke processen, (2) de wijze waarop deze resources – indien nodig - ter beschikking komen, en (3) reguliere maatregelen of voorzieningen binnen het bedrijf, die proactief vóór de verstoring gewerkt moeten hebben, om daarna de basis voor herstel te kunnen vormen. Een sprekend voorbeeld van het derde punt is binnen de IT, het maken (en controleren) van een back-up. Door deze ruime interpretatie van de BCM response, wordt ook nadrukkelijk de aandacht gelegd op de resources, nodig om de plannen (met name IMP en BCP) ten uitvoer te brengen. Het is wellicht enigszins verwarrend dat BCM zich met name richt op de resources ten behoeve van de kritieke processen, maar voor de uitvoering zelf ook afhankelijk is van vergelijkbare resources. De BS25999 waarschuwt daarom om waakzaam te zijn voor het feit, dat de resources voor uitvoer van de plannen door dezelfde verstoring geraakt kunnen worden als de resources van het kritieke proces. Een oplossing is om de resources gerelateerd aan de BCM response via andere bronnen ter beschikking te stellen. De benodigde resources zijn (mede hierdoor) niet altijd binnen de organisatie ter beschikking. Daarom moeten vooraf contractueel vastgelegde afspraken gemaakt zijn , ten aanzien van de mate waarin en de wijze waarop de resources ter beschikking komen zodra daar behoefte aan is. Uit de voorgaande alinea zal duidelijk zijn, dat ook deze afspraken tot de scope van de BCM eindproducten gerekend worden. BS25999 onderscheidt een aantal soorten resources in relatie tot processen: mensen, locatie, technologie, informatie en toeleveringen. Hieraan koppelen wij de volgende specifieke aandachtspunten per resource: • Mensen: aantallen, skills/competenties en training/opleiding. • Locatie: crisiscentrum/control-room, opslag middelen. • Technologie: informatie- en communicatiemiddelen. • Informatie: (deel-) plannen, modellen/templates; contactgegevens; protocollen (interne en externe informatievoorziening); dossiervorming (besluiten en verantwoorden). • Toeleveringen: afroep op contracten. De beantwoording van deelvraag 1 luidt als volgt: De eindproducten van een BCM implementatie zijn vervat in een structuur (hierna aangeduid met BCM response), waar alle zaken geregeld zijn, die nodig zijn om als organisatie een adequate reactie te kunnen geven op een ernstige verstoring van de kritieke dienstverlening. Wij onderkennen de volgende elementen binnen de BCM response: (1) plannen voor de uitvoering van de onderscheiden fasen binnen de BCM response, in ieder geval voor de fasen ‘Incident Response’ en ‘Business Continuity’; (2) maatregelen ter waarborging van de beschikbaarheid van de benodigde resources voor uitvoering van de plannen en de kritieke processen; (3) procedures met de wijze waarop deze resources – indien nodig - ter beschikking komen;
- 18 -
(4) reguliere maatregelen of voorzieningen binnen het bedrijf, die proactief vóór de verstoring gewerkt moeten hebben, om daarna de basis voor herstel te kunnen vormen.
6. Effectiviteit
6.1 Definities van effectiviteit Het meest voorkomende synoniem (oa. Van Dale) voor effectiviteit is doeltreffendheid, ofwel de mate waarin het doel (of de doelen) worden behaald. Binnen organisaties bestaan altijd meerdere doelen tegelijkertijd. Deze doelen zullen nooit alle in één keer bereikt worden. In ´t Veld [04] onderscheidt concurrerende doelen en conflicterende doelen. Over concurrerende doelen is men het onderling eens binnen de organisatie. De beperking bij concurrerende doelen zit hem meestal in de beschikbaarheid van voldoende financiële middelen. Deze beperking noodzaakt de organisatie om prioriteiten te stellen. In het geval van conflicterende doelen ligt de situatie anders: de verdeling van macht binnen de organisatie bepaalt uiteindelijk welk doel nagestreefd wordt. Meestal komen beide gevallen in een doelenreeks van de organisatie voor en is de rangorde van de doelen een kwestie van onderhandelen en compromissen sluiten. Het is daarom vooral van belang, dat een vraag naar de meting of beoordeling van de effectiviteit duidelijk gekoppeld wordt aan het doel (of de doelen) die de vraagsteller voor ogen heeft. Hardjono & Bakker [03] definiëren effectiviteit als de mate waarin de producten of diensten, als output van het proces, voldoen aan de eisen en verwachtingen van klanten. Als van volledige voldoening sprake is, bereikt het proces zijn doel en is het dus doelmatig of effectief. Deze definitie lijkt sterk afgeleid van het begrip ‘kwaliteit’, waarbij de doelstelling van de proceseigenaar maximaal afgestemd wordt op de behoefte van de afnemer. In ’t Veld koppelt op strategisch niveau effectiviteit aan de beoordeling van de keuze uit alternatieve middelen. Hij definieert de theoretische effectiviteit van een middel als de verhouding tussen het verwachte resultaat (door inzet van het middel) en het beoogde resultaat. Indien deze verhouding kleiner is dan één, wordt het middel verworpen omdat het beoogde resultaat naar verwachting niet wordt bereikt. Pas op tactisch en operationeel niveau (bij de aanwending van middelen) komt de werkelijke effectiviteit naar voren. In het verlengde van de zienswijze van in ’t Veld, stelt de Wetenschappelijke Raad voor het Regeringsbeleid [15] dat effectiviteit meer is dan de mate waarin de doelen gerealiseerd zijn (doelbereiking); ook de mate waarin het bereiken van de doelen te danken is aan een bepaald beleid of keuze van inzet aan (beleid)middelen is onderdeel van effectiviteit. Voor dit onderzoek nemen wij deze zienswijze over en definiëren effectiviteit, als de mate waarin door inzet van middelen (in ruime zin) het beoogde doel wordt behaald.
6.2 Toepasbaarheid definitie ‘effectiviteit’ voor een BCM response In ´t Veld geeft aan dat, ondanks conflicterende doelstellingen, binnen organisatie altijd minimaal één gemeenschappelijk doel aanwezig is. Dit betreft het zogenaamde primaire doel, wat betrekking heeft op het bestaansrecht en voortbestaan van de organisatie. Op het hoogste niveau van BCM staat hetzelfde doel centraal. In ´t Veld merkt op dat het primaire doel niet autonoom door de organisatie kan worden vastgesteld. Dit doel wordt mede bepaald door (een deel van) de omgeving van de organisatie. Het primaire doel van de organisatie is gekoppeld aan haar primaire functie; als
- 19 -
de omgeving behoefte heeft aan die functie, wordt daarmee de basis gevormd voor de belangrijkste bron van inkomsten van de organisatie. Voor beantwoording van de tweede deelvraag (geformuleerd in nieuwe termen: ‘wat is effectief in relatie tot een BCM response?´), kunnen we op basis van de voorgaande paragraaf stellen, dat hier sprake is van theoretische effectiviteit. De BCM response is immers gedefinieerd als een structuur, waarin ter voorbereiding op verstoringen alle relevante zaken geregeld zijn. De werkelijke effectiviteit van de BCM response kan pas vastgesteld worden, als zich daadwerkelijk ernstige verstoringen voordoen. Pas dan zal blijken of de doelen behaald worden en in welke mate dit te danken is aan de ingezette resources. Het onderscheid tussen theoretische en werkelijke effectiviteit wordt gekenmerkt door de invloed van het acteren van de betrokken personen op het behalen van het beoogde resultaat. In het volgende hoofdstuk zal meer in detail ingegaan worden op de voorzieningen en maatregelen van de BCM response. Vooruitlopend hierop kan nu al gesteld worden, dat het leidende plan voor de eerste fase van de BCM response nooit een kompleet uitgewerkt handboek zal bevatten, dat (in theorie: door leken) gebruikt kan worden voor alle mogelijke verstoringen.[02] Een effectief plan voor deze hectische fase kenmerkt zich door een overzichtelijke indeling met daarin checklists, afgestemd op categorieën soortgelijke verstoringen. Het belangrijkste doel van zo’n plan is om te voorkomen, dat er in de paniek en onder druk essentiële stappen worden vergeten. De verdere invulling wordt overgelaten aan de personen die opereren binnen het CMT, die op hun beurt vaak steunen op gespecialiseerde externe hulptroepen voor redding en beperking van de schade. Een ander facet wat speelt bij het acteren van personen tijdens een ernstige verstoring is, dat bijvoorbeeld in geval van een grote natuur- of milieuramp het persoonlijke doel kan conflicteren met het doel van de organisatie. Het merendeel van de betrokken personen zal zich in zo’n situatie eerst druk maken om het welzijn van zijn/haar naasten. De vraag naar de loyaliteit van de medewerker in bijzondere omstandigheden is van een zelfde orde als de vraag of de beloofde middelen ook daadwerkelijk aanwezig zijn in de mate die werd verondersteld in het plan. In een doordacht plan zal hiermee rekening worden gehouden. Het verschil tussen de beschikbaarheid van de benodigde mensen en overige middelen zit hem vooral in de mate van onvoorspelbaarheid, veroorzaakt door het gedrag van de mens. Omdat het gedrag van betrokken personen niet los kan worden gezien van alle uit de BCM response voortkomende hulpmiddelen en voorzieningen, gaan wij bij het vaststellen van de bepalende factoren voor de effectiviteit uit van de situatie, dat zich werkelijk een ernstige verstoring voordoet. Dit betekent een kleine verruiming van de scope ten aanzien van BCM binnen dit onderzoek, zoals eerder beschreven in paragraaf 5.7. In die paragraaf hebben we de scope beperkt tot de effectiviteit van onderdelen van de BCM response, waarmee adequaat gereageerd kan worden op een ernstige verstoring. Hier stellen we voor om de analyse te richten op de daadwerkelijke reactie op een ernstige verstoring, waarmee de invloed van het menselijk handelen binnen de scope is gebracht. Op grond van het voorgaande komen wij tot het onderstaand antwoord op deelvraag 2. Effectiviteit (toegespitst op de scope van dit onderzoek): de mate waarin de hulpmiddelen en voorzieningen vanuit de geïmplementeerde BCM response, tijdens de reactie op een ernstige verstoring de betrokken personen in staat stellen om de BCM doelstellingen te behalen.
- 20 -
7. Factoren van invloed op de effectiviteit van de reactie op een ernstige verstoring
In dit hoofdstuk worden de bepalende factoren vastgesteld voor de effectiviteit van de reactie op een ernstige verstoring, ter beantwoording van de centrale onderzoeksvraag. In de aanloop daar naartoe is allereerst verantwoording afgelegd over de werkwijze die wij gevolgd hebben. Daarna volgt een samenvatting van de belangrijkste resultaten uit de gesprekken met experts. Tenslotte wordt de analyse inhoudelijk beschreven. Naast de centrale onderzoeksvraag, wordt ook ingegaan op de nog niet beantwoorde deelvragen.
7.1 Werkwijze Zoals in de hoofdstuk 4 al aangekondigd, zijn we tijdens het onderzoek afgeweken van de oorspronkelijke aanpak. De beschikbare hoeveelheid informatie met betrekking tot niet-effectieve reacties op ernstige verstoringen bleek beperkt. Wij hechtten vooraf veel waarde aan deze informatie, omdat een analyse hiervan factoren zouden opleveren die een effectieve reactie in de weg staan. Het voorkomen of wegnemen van deze factoren zou dan een belangrijke basis kunnen vormen voor de beantwoording van de onderzoeksvraag. Het is achteraf bezien begrijpelijk dat deze informatie zo beperkt beschikbaar is. Niet-effectieve reacties op een ernstige verstoring worden door de omgeving in verband gebracht met falen van de organisatie. De ‘vuile was’ wordt daarom bij voorkeur niet buiten gehangen, zeker niet als de informatie herleidbaar is naar de organisatie of de betrokken personen. Ook hadden wij het plan om de reactie op een ernstige verstoring als een proces te analyseren. In combinatie met de analyse van de praktijkinformatie over de minder geslaagde reacties op ernstige verstoringen, zou dit moeten resulteren in beantwoording van de centrale onderzoeksvraag. Deze werkwijze kenmerkt zicht door een bottom-up benadering. De activiteiten nodig om de verstoring beheersbaar te maken en de gevolgen te beperken, zijn afhankelijk van de aard van de verstoring. Een reactie van de organisatie op ernstige verstoringen is niet goed als generiek proces te beschrijven, zonder te vervallen in zeer globale algemene waarheden of ‘als-dan’ keuze mogelijkheden. Dat geldt in mindere mate ook voor de activiteiten die noodzakelijk zijn om de kritieke dienstverlening op een minimaal niveau te herstellen. Door beide beperkingen (beschikbaarheid van gedetailleerde praktijkinformatie en onvoldoende zinvolle generieke procesbeschrijving), hebben wij het over een andere boeg gegooid en gekozen voor een aanpak met een meer top-down gerichte benadering. Uitgangspunt hierbij is de generieke continuïteitsdoelstelling van BCM op het hoogste aggregatieniveau, namelijk het herstellen van de kritieke dienstverlening op een minimaal niveau binnen een maximaal tijdsinterval. Verstoring van de kritieke dienstverlening wordt van twee kanten belicht: zowel onderbrekingen van het leveren van kritieke producten en diensten als die van de randvoorwaarden om te kunnen blijven leveren. Deze laatste invalshoek is na de gesprekken met experts toegevoegd; zie daarvoor paragraaf 7.2. Vervolgens wordt beredeneerd op welke wijze de in paragraaf 5.6 onderscheiden fasen binnen het tijdspad van een reactie bijdragen aan de generieke continuïteitsdoelstelling. Op basis hiervan worden doelstellingen per fase opgesteld. Wij beperken ons hierbij overigens tot de fasen ‘Incident Response’ en ‘Business Continuity’. Ook is in paragraaf 5.6 reeds aangegeven dat de fase ‘Recovery/Resumption’ niet altijd van toepassing is en daarnaast sterk afhankelijk van aard en omvang van de verstoring. Organisaties kiezen er daarom ook wel voor, om geen specifieke
- 21 -
voorbereidingen met betrekking tot deze fase te treffen. De activiteiten voor deze fase worden in dat geval pas gepland, nadat dat de kritieke dienstverlening op het minimale niveau hersteld is. Voor de fasen ‘Incident Response’ en ‘Business Continuity’ is vervolgens gezocht naar de bepalende factor(en) op het hoogste aggregatieniveau, gericht op het bereiken van de doelstelling per fase. Daarnaast zijn onderliggende elementen vastgesteld die deze factoren zelf weer beïnvloeden. Het management van de organisatie kan aan de hand van deze elementen invloed uitoefenen op de bepalende factor(en) per fase. In onderstaande figuur is de gehanteerde werkwijze schematisch samengevat.
In interviews met experts hebben wij onderwerpen besproken, waarvoor op dat moment behoefte bestond aan extra kennis of inzicht. Tijdens elk gesprek zijn bestaande inzichten bevestigd, bijgesteld of zijn er soms ook nieuwe inzichten ontstaan. Door dit proces van kennisontwikkeling is de startsituatie voor elk gesprek anders geweest, waardoor de toegevoegde waarde van de gesprekken onderling moeilijk vergelijkbaar is. In de volgende paragraaf worden de uitkomsten van de interviews samengevat; er is een bijlage opgesteld met de achtergronden van de interviews.
7.2 Uitkomsten van de interviews met experts Wij hebben gesproken met vijf partijen (in totaal met zeven personen) elk deskundig op een gebied gerelateerd aan BCM. Deze partijen hebben expertise op het gebied van certificering van BCM implementaties, het verzorgen van opleidingen voor BCM, advisering ten aanzien van BCM en (eind)verantwoordelijkheid voor BCM binnen een organisaties (detailhandel en dienstverlening). De resultaten uit deze interviews zijn in twee groepen verdeeld: validaties en bijstellingen. De validaties hebben betrekking op de gewenste prikkels voor een succesvolle BCM implementatie, de centrale positie van de mens en de structuur en inhoud van benodigde plannen. De bijstellingen betroffen de omgang met onzekerheden in de plannen, het belang van vertrouwen van belanghebbenden in de organisatie en een definitiekwestie bij de analyse. In de volgende alinea’s worden de validaties en bijstellingen per onderwerp kort inhoudelijk samengevat. Alle gesprekspartners waren van mening dat BCM alleen succesvol geïmplementeerd en onderhouden kan worden, als het management zelf overtuigd is van de noodzaak voor BCM. Daarnaast is het een voorwaarde dat het management deze overtuiging goed overbrengt naar alle belanghebbenden van de organisatie: de eigenaars en aandeelhouders, het personeel, de toezichthouders, financiers en belangrijke klanten en leveranciers.
- 22 -
BCM vergt dermate veel inspanning aan voorbereiding, oefening en training, dat alle belanghebbenden blijvend het nut moeten inzien van de benodigde investeringen. Drie gesprekspartners hebben een aanpak voor BCM bepleit, waarbij telkens relatief beperkt afgebakende gebieden van begin tot einde opgepakt worden (in plaats van een organisatiebrede aanpak). De achterliggende gedachte is, dat daarmee ook tussentijds zichtbare successen behaald kunnen worden, die een belangrijke stimulans vormen voor nieuw op te starten activiteiten. Op deze wijze houdt het BCM programma zichzelf als het ware in stand. De centrale positie van de mens werd door alle betrokkenen (h)erkend, zowel in de betekenis van belangrijkste te beschermen resource als die van initiator voor een reactie op een ernstige verstoring. In elk IMP staat de veiligheid van de mensen voorop. Het gedrag van de mens onder extreme omstandigheden is een van de lastigste te voorspellen elementen. Er zijn maatregelen om de voorspelbaarheid van het gedrag te vergroten. Daarbij denken wij aan opleiding/training en vooral ook oefenen, oefenen en nog eens oefenen. De geschiktheid van personen om te functioneren in hectische omstandigheden en onder grote druk wordt echter ook bepaald door competenties die niet aangeleerd kunnen worden, zoals flexibiliteit en improvisatievermogen. Uit de gesprekken bleek dat de crisismanagers binnen de betrokken organisaties niet geselecteerd zijn op persoonskenmerken. Ook kwam naar voren dat de geschiktheid voor deze rol niet goed bespreekbaar was. Wie vertelt immers de hoogste baas binnen een middelgrote organisatie, dat hij of zij een prima manager is maar niet geschikt is als crisismanager? Verstoringen zijn onvoorspelbaar en de gevolgen niet altijd direct duidelijk. Een plan voor de eerste fase van de reactie op een verstoring (het IMP), kan onmogelijk een draaiboek bevatten met een gedetailleerde handleiding voor alle mogelijk voorkomende verstoringen. In de praktijk bevat een IMP in kern een aantal checklists voor groepen van soortgelijke verstoringen. Het crisismanagement wordt hiermee slechts op hoofdlijnen gestuurd, met het doel om in hectische omstandigheden geen essentiële stappen te vergeten. Daarnaast bevat het IMP essentiële contact- en contractinformatie, waarop direct teruggevallen moet kunnen worden. Mensen kunnen alleen samenwerken als ze ook in staat zijn om met elkaar te communiceren. Om deze reden wordt in een IMP vaak de nadruk gelegd op de keuze en beschikbaarheid van de te gebruiken communicatiemiddelen. Het IMP gaat evenals het plan voor de tweede fase, het BCP, uit van de beschikbaarheid en bruikbaarheid van de benodigde resources (mensen en middelen), mede op basis van getroffen voorzieningen. Wat als nu in de werkelijkheid blijkt dat deze uitgangspunten niet kloppen? Bijvoorbeeld, een mobiele telefoon die niet meer blijkt te werken als door een stroomstoring de masten binnen het bereik van de telefoon zijn uitgevallen. Uit de gesprekken kwam naar voren dat plannen uitsluitend gebaseerd mogen worden op aannames die ‘tot op het bot’ geverifieerd en gevalideerd zijn. Niet geverifieerde veronderstellingen zijn uit den boze, hoe voor de hand liggend deze soms ook zijn. Deze plannen zijn bedoeld om zekerheden te bieden in zeer tumultueuze situaties. Voor die omstandigheden mag in de voorbereiding niets aan het toeval overgelaten worden, tenzij het een bewuste keuze is geweest om geen verdere maatregelen te treffen. Door zo´n keuze worden de hiermee samenhangende risico’s geaccepteerd. Zoals in de vorige paragraaf al aangestipt, benaderen wij de continuïteit van de kritieke dienstverlening ook vanuit de randvoorwaarden om dit blijvend te kunnen doen. De randvoorwaarden zijn gekoppeld aan het vertrouwen in de organisatie. Verlies van vertrouwen uit zich in een plotseling inzakkende vraag naar de kritieke producten/diensten en een afnemende bereidheid om de activiteiten te financieren door een verhoogde risico-inschatting. Tijdens de interviews is benadrukt dat ook het wegvallen van vertrouwen bij klanten en financiers, de continuïteit van de organisatie in gevaar brengt. - 23 -
Vertrouwen valt niet zomaar weg. Het eigen handelen van de organisatie speelt hierbij een rol, met name als de perceptie ontstaat dat de organisatie verwijtbaar verkeerd gehandeld heeft. Deze perceptie kan ook ontstaan door verkeerde communicatie over de uitgevoerde of geplande activiteiten. Het kan enerzijds zo zijn dat het vertrouwen rechtstreeks door het handelen van de organisatie geschaad wordt (direct effect). Anderzijds is het mogelijk dat er iets anders is (bijvoorbeeld een crisis), waarop de organisatie niet goed reageert en waardoor het vertrouwen verdwijnt (indirect effect). Het wegvallen van vertrouwen als indirect effect van de reactie op een ernstige verstoring beschouwen wij daarom als een mogelijk ‘bijproduct’. Vooruitlopend op de analyse in de volgende paragraaf, is tijdens de gesprekken ook een definitie bijgesteld in het kader van de afweging tussen de snelheid van handelen en het creëren van zekerheid. Snelheid van handelen is nooit een doel op zich tijdens een crisissituatie; het draait primair om het nemen van adequate1 maatregelen tegen de verstoring, waardoor nieuwe gevolgen uitblijven. Om deze reden gebruiken wij hierna steeds de combinatie van woorden ‘snelheid van adequaat handelen’ bij de analyse.
7.3 Factoren van invloed op de effectiviteit 7.3.1
BCM doelstellingen in relatie tot de fasering van de reactie op een verstoring
De generieke continuïteitsdoelstelling zoals we die eerder gedefinieerd hebben, bevat twee elementen. Het eerste element is de tijd, waarbinnen de kritieke dienstverlening hersteld zou moeten worden. Het tweede element is het minimale niveau van dienstverlening wat binnen de betreffende tijd gerealiseerd dient te worden. Beide elementen zijn onlosmakelijk met elkaar verbonden, maar kunnen wel afzonderlijk geanalyseerd worden. De tijd benodigd om de kritieke dienstverlening te herstellen, is afhankelijk van: (1) de processen die verstoord zijn en benodigd voor levering van de betreffende producten en/of diensten; (2) de ontbrekende maar vereiste resources per proces. Indien we gemakshalve aannemen dat alle resources tegelijkertijd nodig zijn, is de resource die het laatste beschikbaar komt bepalend voor de benodigde tijd voor herstel. In de realiteit zijn vanzelfsprekend niet alle resources tegelijkertijd nodig. Processen zijn soms van elkaar ontkoppeld door voorraden. Bovendien zijn niet alle processen rechtstreeks benodigd voor de voortbrenging van de kritieke producten of diensten. Voor het minimale niveau van dienstverlening kan een soortgelijke redenatie worden opgezet als die voor het element ‘tijd’. Bij elk niveau van operatie per proces, hoort een set van minimaal beschikbare resources. In alle gevallen zal er per proces één resource de beperkende factor zijn voor de hoeveelheid output uit het proces. Als deze resource in groter volume beschikbaar komt, stijgt de output totdat een volgende resource ‘de flessenhals’ wordt voor het niveau van opereren en daarmee voor de output van het proces. Ook hier geldt weer dat deze redenatie een vereenvoudiging is van de werkelijkheid. Binnen de in paragraaf 5.6 beschreven fasering tijdens een reactie op een ernstige verstoring, richten we ons tijdens de analyse met name op de fasen ‘Incident Response’ (IR) en ‘Business Continuity’ (BC). De kern van IR bestaat activiteiten om enerzijds de verstoring te beheersen en anderzijds de
1
Adequaat in de betekenis van: passend, gelet op de aard van de situatie.
- 24 -
gevolgen van de verstoring voor de resources van de organisatie te beperken. BC staat in het teken van herstelwerkzaamheden. Door adequate maatregelen te nemen tegen de verstoring, blijven nieuwe gevolgen uit. Hierna is het pas zinvol om herstelwerkzaamheden te starten. IR is daarmee randvoorwaardelijk voor de fase BC. De periode waarbinnen de verstoring onbeheerst door heeft kunnen gaan, is bepalend voor de hoeveelheid schade die aan de resources is toegebracht. Met andere woorden, het handelen gedurende de fase IR is bepalend voor de hoeveelheid herstelwerkzaamheden en daarmee ook voor de tijd benodigd voor de fase BC. Deze redenering gaat met name op, als de er sprake is van een verstoring die in omvang en qua gevolgen voortwoekert, bijvoorbeeld een brand. Bij andere verstoringen zoals een stroomstoring blijft de fase IR meer beperkt; in dat geval wordt vrijwel direct gestart met het herstel, de fase BC. De herstelwerkzaamheden tijdens de fase BC beginnen zodra het CMT geoordeeld heeft dat de verstoring voldoende beheerst is. Het herstel start aan de hand van de getroffen voorzieningen en maatregelen binnen de BCM response, zoals beschreven in paragraaf 5.7. De haalbaarheid van de continuïteitsdoelstelling binnen de fase BC hangt af van hoeveelheid herstelwerkzaamheden en de snelheid waarmee de herstelwerkzaamheden uitgevoerd worden. De hoeveelheid werk is een resultante van de aard van de verstoring en het succes waarmee de fase IR doorlopen is. De snelheid is afhankelijk van de eenduidigheid van de benodigde werkzaamheden (in één keer goed) en de geschiktheid van de uitvoerenden. In de vorige paragrafen is gesteld dat we tijdens de analyse - naast de generieke continuïteitsdoelstelling - ook de invalshoek beschouwen van de randvoorwaarden voor financiering van de bedrijfsactiviteiten. De conclusie uit paragraaf 7.2 was, dat dit gekoppeld is aan het wegvallen van het vertrouwen. Het wegvallen van het vertrouwen wordt tijdens dit onderzoek gezien als een van de mogelijke negatieve effecten van het handelen tijdens een crisis. Daarmee is het wegvallen van vertrouwen met name een risico dat binnen de fase IR beheerst moet worden. Het herstel van vertrouwen is dermate afwijkend van de activiteiten in het kader van het herstel van de kritieke dienstverlening, dat dit buiten de analyse voor de fase BC is gehouden. Vertrouwen bij klanten of financiers vermindert of valt weg, indien er bij hen een perceptie is van verwijtbaar verkeerd handelen door de organisatie. Een nieuw element bij deze invalshoek is de communicatie in de richting van de belanghebbenden over de ontstane situatie en het handelen van de organisatie. Deze communicatie vereist een gedegen voorbereiding en kan beter overgelaten worden aan specialisten. Als de boodschap te laat, niet eenduidig of onvolledig is, wordt deze door (potentiële) ontvangers zelf ingevuld. Vanaf dat moment is het kwaad geschied en bijna onomkeerbaar. In de volgende paragrafen selecteren we op basis van het voorgaande voor elke gekozen invalshoek die relevant is binnen een fase, dé bepalende factor voor het bereiken van de betreffende doelstelling. Vervolgens werken we de elementen uit, waarmee het management van de organisatie invloed kan uitoefenen op de bepalende factoren. Tegelijkertijd is dit een summiere beantwoording van de deelvragen 3 en 4. Er worden uitsluitend factoren in beschouwing genomen, die binnen de invloedsfeer van het management van de organisatie vallen. Factoren zijn per fase bepalend door de verwachte bijdrage aan het bereiken van de doelstellingen binnen de betreffende fase; dit is ingevuld door per doelstelling één bepalende factor te selecteren.
- 25 -
7.3.2
Factoren van invloed op de effectiviteit van de fase ‘Incident Response’
Op basis van de vorige paragraaf hebben wij binnen de scope van dit onderzoek twee doelstellingen geselecteerd voor de fase IR: (1) het beheersen van de verstoring en beperken van de gevolgen voor de kritieke resources, en (2) het voorkomen van een verkeerde perceptie bij belanghebbenden over de ontstane situatie in relatie tot het handelen van de organisatie. Voor het bereiken van de eerste doelstelling stellen wij de volgende bepalende factor voor: ‘de snelheid van adequaat handelen’. Hierbij ligt het accent op ‘snelheid’ en wordt ‘adequaat handelen’ als randvoorwaardelijk beschouwd. Zoals eerder aangegeven wordt bij gebrek aan adequaat handelen de verstoring immers onvoldoende beheerst, zodat de gevolgen voor de resources blijven toenemen. De snelheid van adequaat handelen is om twee redenen bepalend. Ten eerste, omdat door een snelle beheersing van de verstoring de fase BC ook snel kan starten en er daardoor maximaal tijd gecreëerd wordt voor deze fase. De tweede reden is dat verstoring door een snelle beheersing minder schade heeft kunnen toebrengen aan de kritieke resources; hierdoor blijven de benodigde herstelwerkzaamheden beperkt tot het minimum. De bepalende factor voor het bereiken van de tweede doelstelling, wordt omschreven met ‘adequate communicatie naar belanghebbenden’. Uitgaande van het feit dat het handelen van de organisatie passend is gelet op de verstoring, moet dit ook als zodanig worden overgebracht naar de belanghebbenden. Daarbij dient met name aandacht gegeven te worden aan belanghebbenden, die op enige wijze invloed hebben op de financiering van de bedrijfsactiviteiten. Als deze groep belanghebbenden vertrouwen houdt in de organisatie, dan is de kans op financieringsproblemen na het herstel van de dienstverlening beperkt. Hiermee zijn dus twee bepalende factoren vastgesteld voor het bereiken van beide doelstellingen binnen de fase IR. Het is nu zaak om de onderliggende elementen te bepalen, die van invloed zijn op beide bepalende factoren. De elementen van invloed op de snelheid van adequaat handelen hebben wij bepaald door het besluitvormingsproces binnen de fase IR op een rij te zetten. Wij onderkennen de volgende activiteiten: (1) Identificeren: ontdekken van een zich ontwikkelende crisis. (2) Activeren crisismanagement: uitroepen van een crisis, tijdelijke overdracht van de leiding van de organisatie aan het CMT. (3) Beeldvormen: verzamelen van informatie, uitvragen van informatie specifiek gericht op de situatie (checklist), ordenen van de verkregen informatie. (4) Beoordelen: inventariseren van de situatie, verkennen van de mogelijkheden, beschikbare versus benodigde middelen. (5) Besluiten: tactische prioriteiten stellen, bestrijden van de verstoring versus beschermen van de resources. (6) Duiden: overdracht door het crisismanagement van de interpretatie van de verstoring en de oplossingen naar anderen. (7) Handelen: uitvoeren van de opdrachten van het crisismanagement. (8) Bewaken: controle of de beoogde resultaten ook daadwerkelijk en blijvend bereikt worden. De activiteiten (1) identificeren, (3) beeldvormen, (5) besluiten en (8) bewaken zijn vooral belangrijk voor de snelheid van handelen.
- 26 -
Identificeren bepaalt de start van het crisismanagement. Wellicht is de crisis voortijdig herkenbaar. Dat vereist interpretatie en herkenning van vroegtijdige signalen, dus brede ervaring binnen crisismanagement. Vroegtijdige herkenning is belangrijk voor de snelheid van handelen; daarom noemen wij het eerste element ‘het vermogen om voortijdig de ontwikkeling van een crisis te onderkennen’. Als de ontwikkeling van de crisis niet voortijdig is onderkend, zal worden gewacht totdat het incident geëscaleerd wordt. De escalatie vindt plaats zodra voor de reguliere behandelaar duidelijk is geworden, dat hij/zij geen oplossing kan bieden binnen een vooraf bepaalde normtijd. Indien gewacht wordt met escaleren totdat de normtijd verstreken is, gaat kostbare tijd verloren. Het incident management proces moet ingericht zijn voor alle soorten incidenten, dus meer dan IT alleen. Dit is samengevat met het element ´incident management met een brede scope en eenduidige escalatieprocedures’. In een crisissituatie wordt het uitvragen van specifieke informatie over de verstoring (als onderdeel van de beeldvorming) ondersteund door checklists. Op deze manier worden direct de juiste vragen gesteld om een zo kompleet mogelijk beeld van de situatie te vormen. Checklists zijn onderdeel van het IMP, wat vooraf is vastgesteld. Dat is de verklaring voor het element ‘voorbereiding door middel van checklists, templates en plannen’. Onzekerheid kan tijdens de beeldvorming leiden tot het verzamelen van meer informatie dan noodzakelijk voor de besluitvorming. De extra informatie leidt in dat geval niet tot een andere uitkomst. Besluitvorming is bepalend voor het moment van handelen. Indien een besluit ten gevolge van onzekerheid uitgesteld wordt, leidt tot dit tevens tot uitstel van handelen. Een en ander is verwoord in het element ‘kwaliteit van de crisismanager in relatie tot de omgang met onzekerheid’. De activiteit ‘Bewaken’ heeft als doel om te controleren dat het handelen ook (blijvend) het verwachte resultaat heeft. Bij afwijkingen van het verwachte resultaat wordt daarmee direct vastgesteld of additioneel handelen noodzakelijk is. Hierdoor gaat geen kostbare tijd verloren. Bewaken wordt sterk vereenvoudigd als het handelen en de resultaten hiervan voor iedereen zichtbaar zijn. Vandaar dat wij het laatste element in relatie tot de snelheid van handelen gedefinieerd hebben met ‘transparantie ten aanzien van (de resultaten van) het handelen’. De communicatie naar belanghebbenden is niet gekoppeld aan specifieke activiteiten binnen de fase IR. Gedurende de gehele fase is communicatie vereist. Er kan veel voorbereid worden, bijvoorbeeld: de kernformulering van de verschillende boodschappen, het gewenste medium per soort boodschap, de gewenste timing (zowel de communicatie bij belangrijke veranderingen als die op de vaste momenten), de geadresseerden per soort boodschap, enzovoorts. Deze voorbereidingen worden meestal vastgelegd in een separaat plan. Wij stellen daarom als eerste element voor, ‘een goede voorbereiding door middel van een crisiscommunicatieplan’. Communiceren is een vak en een verkeerde boodschap kan catastrofale gevolgen hebben. Indien mogelijk wordt de crisiscommunicatie daarom overgelaten aan een specialist, die deel uitmaakt van het CMT. Het crisiscommunicatieplan is weloverwogen en in alle rust opgesteld. Tijdens de hectiek van een crisis is het daarom belangrijk om maximaal vast te houden aan de uitgangspunten van dit plan. Daardoor kan alle aandacht gericht worden op het deel van de communicatie, wat specifiek is voor de betreffende crisis. ´Uitvoeren conform het crisiscommunicatieplan´ is daarom een tweede belangrijk element voor adequate communicatie naar belanghebbenden. Samengevat zijn er twee bepalende factoren vastgesteld voor de fase IR in relatie tot de effectiviteit van een reactie op een ernstige verstoring. ´de snelheid van adequaat handelen´en ´adequate communicatie naar belanghebbenden´. - 27 -
De onderkende elementen van invloed op de snelheid van adequaat handelen binnen de fase IR zijn: (1) het vermogen om vroegtijdig de ontwikkeling van een crisis te onderkennen, (2) het inrichten van het proces ´incident management´ voor alle soorten incidenten binnen een organisatie en waarbinnen eenduidige escalatieprocedures gehanteerd worden, (3) de beschikbaarheid van checklists, templates en plannen tijdens de beeldvorming voor een crisissituatie, (4) crisismanagers die goed om kunnen gaan met onzekerheid bij beeldvorming en besluitvorming, en (5) het creëren van transparantie ten aanzien van de resultaten van het handelen tijdens een crisissituatie. De elementen in relatie de communicatie naar belanghebbenden zijn: (6) de beschikbaarheid van een goed voorbereid crisiscommunicatieplan, en (7) de discipline om tijdens een crisis ook daadwerkelijk conform dit plan te communiceren.
7.3.3
Factoren van invloed op de effectiviteit van de fase ‘Business Continuity’
In de fase IR is de verstoring dermate beheerst, dat geen nieuwe gevolgen voor de resources verwacht worden. Dat is het moment dat het CMT de fase BC vrijgeeft en de herstelwerkzaamheden kunnen starten. De fase BC is uitsluitend gericht op het herstel van de resources, benodigd om de kritieke dienstverlening weer op gang te brengen. Daarom verklaren wij de generieke continuïteitsdoelstelling één op één van toepassing voor de fase BC. In paragraaf 7.3.1 is beredeneerd dat de haalbaarheid van de doelstelling voor de fase BC afhangt van de hoeveelheid herstelwerkzaamheden en de snelheid waarmee deze werkzaamheden worden uitgevoerd. De hoeveelheid werkzaamheden wordt zelf weer bepaald door de mate waarin de gevolgen voor de resources beperkt zijn gebleven tijdens de fase IR. De snelheid is afhankelijk van de eenduidigheid van de benodigde werkzaamheden (in één keer goed) en de geschiktheid van de uitvoerenden. Deze redenatie is gebaseerd op een belangrijk uitgangspunt, namelijk dat er voldoende basis gecreëerd is om herstel mogelijk te maken. Dit is aan het eind van hoofdstuk 5 aangeduid met ´reguliere maatregelen of voorzieningen binnen het bedrijf, die proactief vóór de verstoring gewerkt moeten hebben, om daarna de basis voor herstel te kunnen vormen´. Dit noemen wij preparatieve maatregelen1 en deze maatregelen worden gekenmerkt, doordat ze niet kunnen worden overgedaan na het optreden van een verstoring. Als tijdens het herstel blijkt dat deze basis onvoldoende is, dan is het laatste herstelpunt niet te gebruiken en zal de betreffende resource vanaf de grond opnieuw opgebouwd moeten worden, als dat al mogelijk is. De vraag of er dan ook hersteld kan worden is naar onze mening belangrijker dan de mate waarin de hersteltijd en het niveau van dienstverlening gehaald worden. Om deze reden is de volgende bepalende factor voor de fase BC geselecteerd, ‘de toereikendheid2 van de preparatieve maatregelen’.
1
De term ‘preparatief’ is ontleend aan een indeling in soorten maatregelen van het kenniscentrum veiligheid cultureel erfgoed 2 Toereikendheid heeft hier betrekking op zowel de opzet als het bestaan en de werking van betreffende maatregelen.
- 28 -
De elementen van invloed op de toereikendheid van de preparatieve maatregelen hebben wij bepaald door te redeneren vanuit omstandigheden, waardoor de maatregelen mogelijk niet toereikend zouden kunnen zijn (of blijven). Het is in alle gevallen essentieel om de uitkomsten van de preparatieve maatregelen regelmatig te testen. Op basis van de uitkomsten van deze maatregelen worden de herstelwerkzaamheden getest. Hierdoor wordt belangrijke ervaring opgedaan, vastgesteld of de herstelprocedures juist zijn en of de uitkomsten van de maatregelen op dat moment toereikend waren. Daarom formuleren wij het eerste element dat invloed heeft op de bepalende factor in de fase BC als, ’het testen van de uitkomsten van de preparatieve maatregelen’. Tijdens het testen wordt onder andere vastgesteld of de uitkomsten van de preparatieve maatregelen toereikend zijn. Of deze maatregelen ook toereikend blijven, hangt af van de mate waarin deze maatregelen: (1) blijvend uitgevoerd worden conform de opzet, en (2) aangepast worden aan gewijzigde omstandigheden. Een continue uitvoering conform de opzet is verwoord in het element ‘scheppen van discipline en waarborgen ten aanzien van de uitvoering’. De aanpassing aan gewijzigde omstandigheden levert de laatste twee elementen op, van invloed op de toereikendheid van de preparatieve maatregelen. BCM maakt integraal deel uit van de bedrijfsvoering. Dat betekent dat de mogelijke invloed van alle significante (potentiële) veranderingen op de bedrijfsvoering ook in relatie tot BCM beoordeeld moeten worden. Dit geldt zowel voor veranderingen binnen de organisatie als die in de omgeving. Dit wordt vaak aangeduid met veranderingsmanagement1. Het bijbehorende element is als volgt geformuleerd: ‘BCM is onderdeel van veranderingsmanagement’. Veranderingsmanagement is vooral gericht op grote, in het oog springende veranderingen. Vele kleine wijzigingen in de omstandigheden kunnen daardoor echter in de loop van de tijd ongemerkt opstapelen. Wij achten het daarom noodzakelijk om de uitgangspunten en uitkomsten van de Business Impact Analyse (BIA) en risicoanalyse periodiek te beoordelen en, indien nodig, te herzien. Deze periodieke herijking is onderdeel van de BCM levenscyclus (paragraaf 5.3). Op deze wijze wordt een vangnet gecreëerd voor wijzigingen die niet binnen veranderingsmanagement afgehandeld worden. De omschrijving van het hieruit voorkomend element spreekt voor zich, ‘periodieke review van BIA en risicoanalyse’ Samengevat: de bepalende factor voor de fase BC in relatie tot de effectiviteit van een reactie op een ernstige verstoring is ‘de toereikendheid van de preparatieve maatregelen’. Als elementen van invloed hierop hebben wij onderkend: (1) het periodiek testen van de uitkomsten van preparatieve maatregelen; (2) het scheppen van discipline en waarborgen ten aanzien van de uitvoering van de preparatieve maatregelen conform de opzet; (3) BCM zou een onderdeel van het veranderingsmanagement binnen de organisatie moeten zijn, waarbij het proces veranderingsmanagement alle belangrijke wijzigingen in de organisatie implementeert; (4) periodieke review van BIA en risicoanalyse is noodzakelijk als vangnet voor veranderde omstandigheden die niet via veranderingsmanagement afgehandeld zijn.
1
Wij prefereren de term ´veranderingsmanagement´ boven het Engelse equivalent ´change management´, omdat deze laatste term vaak wordt gebruikt voor wijzigingen in een automatiseringssysteem (bron: Wikipedia).
- 29 -
- 30 -
7.4 Conclusie Na de analyse in de vorige paragrafen, rest ons nog de beantwoording van de centrale onderzoeksvraag: ‘Welke factoren zijn bepalend voor de effectiviteit van de eindproducten van een BCM implementatie?’. In paragraaf 5.7 is aangegeven dat de eindproducten van een BCM implementatie zijn vervat in een structuur die we de BCM response hebben genoemd, in navolging van de BS25999. Deze structuur is de ultieme voorbereiding voor een organisatie, om een reactie te kunnen geven op ernstige verstoringen van de kritieke dienstverlening. Vervolgens hebben we in paragraaf 6.2 de scope van het onderzoek iets uitgebreid. Geconcludeerd is dat het gedrag van betrokken personen niet los kan worden gezien van alle uit de BCM response voortkomende hulpmiddelen en voorzieningen. Daarom is voorgesteld dat bij het vaststellen van de bepalende factoren uitgegaan wordt van de situatie waarin zich werkelijk een ernstige verstoring voordoet, dus inclusief de invloed van het menselijk handelen. Gezien het voorgaande luidt ons antwoord op de onderzoeksvraag: De bepalende factoren voor de effectiviteit van de reactie op een ernstige verstoring van de kritieke dienstverlening zijn: • de snelheid van adequaat handelen, gericht op het beheersen van de verstoring en beperken van de gevolgen voor de kritieke resources; • adequate externe communicatie naar belanghebbenden, gericht op het waarborgen van het vertrouwen van de partijen die essentieel zijn voor de financiering van de bedrijfsactiviteiten; • de toereikendheid van de preparatieve maatregelen, als basis voor het herstel van de kritieke resources.
7.5 Nawoord en reflectie In het voorwoord spraken we over hoogte- en dieptepunten. De dieptepunten hebben uitsluitend betrekking op de hoeveelheid benodigde inspanningen en de worsteling met onmogelijkheden in de oorspronkelijke aanpak. Achteraf bezien hadden we dit ook vooraf kunnen bedenken door de aanpak in het onderzoeksvoorstel iets dieper te analyseren en beter te beoordelen op haalbaarheid. Daarentegen moet het onderzoek ook een keer starten en doet een gedwongen tussentijdse herijking ook een positief beroep op de flexibiliteit en creativiteit van de onderzoekers. Het leuke aan de keuze voor BCM is, dat dit onderwerp ook nadrukkelijk van toepassing is in de persoonlijke sfeer. Na een grote stroomstoring in de Bollenstreek (begin 2010), realiseer je je pas goed dat VoIP ook zijn beperkingen heeft en dat de GSM masten (Base Transceiver Stations) niet uitgerust zijn met een noodstroomvoorziening. Dit soort ervaringen leidt vervolgens tot maatregelen, zoals het voorkomen dat de auto met een lege tank weggezet wordt en afspraken in geval de gezinsleden niet meer op afstand met elkaar kunnen communiceren. Het is opvallend dat deze maatregelen heel geleidelijk weer wegebben, totdat ... zich nieuwe verstoringen voordoen. Deze cyclus van een roep om aandacht voor BCM en verslapping tot de volgende verstoring, is daarom ook zo goed voorstelbaar in de zakelijke sfeer. Iedereen is na verloop van tijd geneigd, om zich weer volledig te wijden aan dagelijkse problemen. Er ontstaat – wellicht te laat - een besef dat
- 31 -
de maatregelen verbonden aan BCM een normaal onderdeel moeten worden van de alledaagse problematiek. Alleen in die situatie is er een kans dat BCM ook blijvend de weerbaarheid van de organisatie ondersteunt. Het management speelt een onvervangbare rol om BCM tot in de haarvaten van de organisatie levend te houden. In het onderzoeksvoorstel was al aangestipt dat de normen en standaarden voor BCM vooral gericht zijn op het proces of de methodiek om BCM te ontwikkelen en implementeren. Er zijn geen normen bekend, waartegen de eindproducten van een BCM implementatie kunnen worden getoetst. Een normenkader is een voorwaarde om een oordeel te kunnen geven over de effectiviteit van deze eindproducten. De bepalende factoren en onderliggende elementen uit dit onderzoek bieden ons inziens aanknopingspunten om aan de hand daarvan een normenkader op te stellen. Bedenk wel dat de mate waarin deze factoren en elementen van toepassing zijn, afhangt van de aard van de verstoringen waartegen een organisatie zich wenst te wapenen. Ook zijn de bepalende factoren afgeleid van een generieke continuiteïtsdoelstelling in combinatie met een algemene reactie op een ernstige verstoring met onderliggende doelstellingen. Als de doelstellingen zouden afwijken, wijzigt ook de analyse inclusief de daaraan gekoppelde uitkomsten (factoren en elementen). Het voor de specifieke situatie opgestelde normenkader voor beoordeling van de effectiviteit is bij voorkeur ook gehanteerd als een uitgangspunt bij de ontwikkeling van de BCM response. Gezien de mate van afhankelijkheid en vervlechting van IT in de primaire processen van organisaties, zijn de waarborgen ten aanzien van de beschikbaarheid van IT ook essentieel voor de continuïteit van de dienstverlening. IT auditors kunnen daarom een belangrijke rol spelen, zowel tijdens de implementatie van BCM als bij de beoordeling van de effectiviteit van een BCMS en de geïmplementeerde BCM response.
- 32 -
8. Referentielijst
Boeken [01] [02] [03] [04] [05]
The definitive handbook of business continuity management, Hiles, 2007 Business continuity management: Building an effective IMP, Blyth, 2009 Management van processen, Hardjono, Bakker, 2009 Analyse van organisatieproblemen, In ’t Veld, 2002 Risicomanagement voor security- en facilitymanagers, Coumou, 2003
Overig [11] [12] [13] [14] [15]
Title IX and business continuity, Zawada (Avalution Consulting), 2008 (artikel) (http://www.continuitycentral.com) Upside to Business Continuity, Marsh European Business Continuity Benchmark Report, 2008 (rapport) Toetsingskader BCP financiële kerninfrastructuur (DNB), 2007 Business Continuity Management, A maturity model, Smit, 2005 (scriptie) Het borgen van publiek belang, WRR, 2000 (rapport)
- 33 -
Bijlage - Interviews Aanleiding Na een uitgebreide zoektocht in literatuur en op internet voegde elk nieuw gevonden artikel weinig tot niets meer toe en ontstond de behoefte naar reflectie ten aanzien van “waar staan we”. De uitgangspunten waarop de aanpak was gebaseerd pakten anders uit, waardoor we op zoek moesten naar nieuwe wegen om het onderzoeksdoel te bereiken. Dit was de hoofdreden om op zoek te gaan naar ondersteuning van experts op het vakgebied BCM om richting te geven aan het vervolg van het onderzoek. Interviews De gesprekspartners zijn geselecteerd naar aanleiding van publicaties die wij tegenkwamen tijdens het literatuuronderzoek en door het raadplegen van de netwerken van onze begeleiders. Wij hadden behoefte aan verdieping op de thema’s ‘drijfveren voor BCM’, ‘proces & plannen’ en ‘mens & communicatie’. Voor elk gesprek hebben onze gesprekspartners wat algemene informatie over het onderzoek gestuurd en korte tekstjes gericht op de thema’s. De gesprekken duurden alle ca 1,5 uur, in een aantal gevallen heeft het gesprek geleid tot een vervolg: het verstrekken van achtergrondinformatie en de uitnodiging vooreen seminar. Gesprekspartners Organisatie BCM Academy BCM Academy BSI Management Systems Koninklijke AHOLD NV Koninklijke AHOLD NV LogicaCMG VKA
Naam Louise Knegtel MBCI Joop Franke, FBCI Drs Dave Hagenaars John Fonteijn RSE John Wassenaar Gert Koolwijk Dr. Dick Leegwater
Functie Chief Executive Officer Eigenaar Managing Director Senior Manager Operational Manager BCM Security Officer Management Consultant
De uitkomsten van de interviews zijn gestructureerd op basis van een reeks onderwerpen; een onderwerp is geregeld van toepassing voor meerdere thema´s. • • • • • • • •
Risico’s van een BCM programma gebaseerd op schijnzekerheden. Beperkingen van een IMP en consequenties hiervan voor de gebruiker. De noodzaak om meer dan essentiële (onvervangbare) informatie op te nemen in plannen. De gevolgen van onzekerheid voor de snelheid van handelen (en andersom). De effecten van ‘false assumptions’ in plannen. De gevolgen van de bijzondere positie van de mens ten opzichte van de andere resources. Het belang van communicatie en de gevolgen van onvoldoende communicatie. De geschiktheid van sleutelpersonen voor rollen in het kader van BCM.
- 34 -
Onderwerp Risico’s van een BCM programma, gebaseerd op schijnzekerheden BCM Academy BSI Systems Koninklijke AHOLD NV Een organisatie moet redeneren vanuit de vraag; “wat is het bestaansrecht van de organisatie?” en dat als uitgangspunt nemen voor het nemen van BCM maatregelen. Een organisatie (topmanagement) moet ervoor zorg dragen dat de eigen kritieke dienstverlening voorgezet kan worden bij een ernstige verstoring en dient hier de middelen voor beschikbaar te stellen. De levensvatbaarheid van de organisatie is hier van afhankelijk. Organisaties die acteren vanuit een drive van de buitenwereld, hebben niet altijd de diepgang van de maatregelen die nodig zijn ten aanzien van de genomen BCM maatregelen. Naast het risico dat een organisatie zichzelf dan tegenkomt bij een reactie van een ernstige verstoring , wordt er ook een onterecht beeld van zekerheid geschetst bij de belanghebbenden. Een goede manier om een BCM proces in te richten is om deze in behapbare fasen te verdelen die de organisatie aan kan. Door dit te doen, kunnen er makkelijker realistische resultaten worden geboekt. Naast het creëren van draagvlak, wordt de organisatie hierdoor gemotiveerd om het proces weer een stap verder te brengen. Een goed ingericht en werkend BCM proces, helpt het management om haar belanghebbenden het vertrouwen te geven dat hun belangen goed worden behartigd. Er is geen garantie dat een certificering van het BCM proces een organisatie
Elk bedrijf maakt haar eigen keus in de wijze waarop het omgaat met BCM. Er zijn bedrijven die hun zaken goed op orde hebben en ervoor zorgen dat ze er alles aan gedaan hebben om te overleven bij een calamiteit. Maar er zijn er ook bij die zich laten leiden door de buitenwereld en alleen acteren als specifiek gevraagd wordt om maatregelen op het gebied van continuïteit. Of dit laatste een juiste strategie is om op de lange termijn te kunnen overleven is natuurlijk maar de vraag. Certificering helpt om belanghebbenden het vertrouwen te geven dat een organisatie volgens een algemeen geaccepteerde standaard voorbereidingen heeft getroffen tegen mogelijke verstoringen. Echter, een certificeringopdracht heeft niet de diepgang van een IT audit. De werking van het proces wordt niet beoordeeld. In die zin zegt een certificering niets over de effectiviteit van de genomen maatregelen. Dat moet blijken na de reactie op een daadwerkelijk opgetreden verstoring.
Het is essentieel dat BCM onderdeel uitmaakt van de agenda van het topmanagement. Commitment van management zorgt ervoor dat er voldoende middelen beschikbaar komen voor BCM. BCM moet onderdeel van de bedrijfsprocessen worden waardoor draagvlak voor dit proces wordt gewaarborgd. Een organisatie moet zich focussen op het continueren van de kritieke dienstverlening bij een calamiteit. Alleen dan zal het de juiste en zo volledige mogelijke maatregelen treffen ten aanzien van continuïteit. Een BCM implementatie die is gebaseerd op schijnzekerheden is geen slimme zet van het management. Niet alleen houdt de organisatie zich zelf voor de gek, immers het kan ten onder gaan bij de acties om van een verstoring te herstellen, maar kan ook de relatie met belanghebbenden schaden omdat achteraf blijkt dat ze onvolledig/onjuist zijn geïnformeerd.
Bij de certificering tegen de BS25999 wordt een vast programma doorlopen. Er vindt eerst een vooronderzoek plaats. Hierbij wordt documentatie verzameld, een beeld van de organisatie verkregen. Tevens wordt hier samen met de organisatie de scope van het onderzoek bepaald waar de BS25999 certificering betrekking op heeft. Vervolgens start de daadwerkelijke beoordeling. De
- 35 -
Logica CMG Management moet overtuigd zijn van het belang van BCM voor de eigen organisatie. Er moet niet aan “window dressing” worden gedaan ten aanzien van BCM. Een organisatie moet beseffen dat haar levensvatbaarheid in gevaar komt bij een ernstige verstoring. Risico management is erg belangrijk in een organisatie. Als dit ontbreekt, wordt het lastig om een BCM risico te definiëren. Het management moet overtuigd zijn van het belang van BCM. Maak inzichtelijk welke gevolgen risico’s kunnen hebben voor de dienstverlening. Doe dit stap voor stap. Op deze wijze, kan worden ingezien dat risico’s kunnen leiden tot onacceptabele gevolgen en dat hiervoor maatregelen genomen moeten worden om ze weg te nemen. Geef niet meteen een te grote lijst van risico’s op, want dit kan juist beperkend werken. De kans bestaat dan dat bv vanuit het (te grote) kostenaspect geen of onvoldoende maatregelen worden genomen.
VKA Organisaties moeten bij het oplossen van continuïteitsvraagstukken beseffen dat het bestaan van organisatie in gevaar kan komen bij een calamiteit. Veelal is management terughoudend voor het opzetten van een ruim opgezet BCM traject. Niet alleen het kostenaspect, maar ook de geringe kans dat een verstoring zich voordoet, speelt hierbij een rol. Een organisatie (topmanagement) kun je hier bewust van maken door het oefenen van crisisscenario’s. Door kleine crisissituaties na te spelen wordt management direct geconfronteerd met de gevolgen van een mogelijke verstoring. Hierdoor zien ze in dat het wel degelijk belangrijk is en zijn meer bereid om een BCM traject op te zetten. Geadviseerd worden om dit gefaseerd te doen en zeker niet meteen te groot. De ervaring leert ; “in kleine stappen, snel thuis”
Onderwerp Risico’s van een BCM programma, gebaseerd op schijnzekerheden BCM Academy BSI Systems Koninklijke AHOLD NV helpt bij de daadwerkelijk reactie op een verstoring. Een certificering zegt helemaal niets over hoe een organisatie het zal doen, ten tijde van een crisis. (bijv. een groot telecombedrijf is BS25999 gecertificeerd, maar kende zeer grote problemen bij het herstel van de dienstverlening na een ernstige verstoring).
Logica CMG
VKA
beoordeling van de BIA is één van de zwaartepunten van de audit. Aan de normen die in de BS25999 genoemd staan moet worden voldaan voor het toekennen van een certificaat. De benodigde capaciteit van een audittraject bij een financiële instelling met ca 1000 medewerkers wordt ingeschat op circa 10 mandagen.
Conclusie Vrijwel alle partijen onderschreven het beeld dat wij hadden over de minimale drijfveren om een BCM implementatie te starten en vol te kunnen houden. Een intern gerichte focus (vanuit het oogpunt van het eigen voortbestaan) is een noodzakelijke voorwaarde voor de vereiste diepgang van de maatregelen, samen met het commitment van het management en de overdracht van dit commitment naar de organisatie (draagvlak). Indien niet aan deze voorwaarde kan worden voldaan, ligt het gevaar van schijnzekerheid op de loer. Het element van schijnzekerheid houdt in dat het niet of onvoldoende “prepared”zijn van de organisatie niet tijdig onderkend wordt door belanghebbenden. Ook certificering brengt deze duidelijkheid vermoedelijk niet. Wij houden vast aan deze mening. Benadrukt werd dat elk programma op zijn tijd successen nodig heeft om de vaart er in te houden; om deze reden onderschrijven wij het belang van een gefaseerde iteratieve aanpak voor de implementatie van BCM.
- 36 -
Onderwerp Beperkingen van een IMP en consequenties voor de gebruiker BCM Academy BSI Systems Het is onmogelijk om in een IMP alle mogelijke details te beschrijven voor elke verstoring die kan optreden. Verstoringen kunnen zich op vele manieren manifesteren. Hierdoor is de situatie steeds anders . Een handzaam IMP is voor de aanpak van een verstoring van meer waarde dan een gedetailleerde plan. Het helpt dan om tijdens de stressvolle omgeving van een crisis snel alle noodzakelijke stappen te nemen om de crisis te bezweren.
Een IMP plan moet bruikbaar zijn op het moment je het nodig hebt. Als daar allerlei details in staan die niet op een verstoring van toepassing zijn, dan bestaat het risico dat het CMT het plan naast zich neerlegt en zelf acties onderneemt, waardoor essentiële stappen bij het bestrijden van de verstoring gemist kunnen worden en het herstel langer kan duren. Een IMP plan is goed opgezet als daarin op hoofdlijnen vermeld staat welke acties er bij welke verstoring genomen moeten worden. Iemand die goed onder grote druk kan werken laat zich in het algemeen niet makkelijk leiden en kiest graag zelf zijn weg; dat is lastig maar tegelijkertijd ook een kwaliteit.
Koninklijke AHOLD NV
Logica CMG
VKA
Het IMP is een stappenplan op hoofdlijnen en moet gericht zijn op de besturing van de reactie op de meest voorkomende verstoringen, om de verstoring snel beheerst te krijgen. Het bevat per verstoring een checklist (alleen de essentiële stappen) die uitgevoerd moet worden per verstoring.
Niet elke verstoring kan in detail worden beschreven. Het is wel van belang dat alle voorkomende verstoringen die een organisatie kunnen raken onderkend en benoemd zijn. Beschrijf vervolgens in de IMP de minimale stappen die genomen moeten worden om de situatie snel te kunnen beheersen.
Een IMP is meer richtinggevend dan voorschrijvend. Daar een meer richtinggevend plan geen details benoemd, vereist het wel de competenties flexibiliteit en improvisatievermogen bij het CMT om het plan te kunnen toepassen bij een verstoring te kunnen bestrijden.
Bij AHOLD is het IMP toegesneden op de meest waarschijnlijke incidenten. Per incident wordt in het stappenplan steeds dezelfde methodiek aangehouden: notificatie, verificatie, identificatie, alarmering, in veiligheid brengen van personen/goederen, wegnemen van de dreiging, bestrijden van de gevolgen.
Zelfredzaamheid is een gewenste eigenschap voor sleutelfunctionarissen in een crisissituatie, want er zijn meestal beperkte mogelijkheden voor communicatie.
Conclusie Het inzicht wat wij hadden over het detailniveau van het IMP is bevestigd door de gesprekspartners. Alle partijen zijn het erover eens dat het onmogelijk is om alle reacties op mogelijke verstoringen in detail uit te werken in een handzaam IMP. Zij concludeerden hieruit net als wij, dat een IMP daarom meer richtinggevend is dan voorschrijvend. Het IMP is in essentie daardoor een checklist met zaken die in de hectiek niet over het hoofd gezien mogen worden. Om met een IMP goed uit de voeten te kunnen, zijn zelfredzaamheid en voldoende improvisatievermogen en flexibiliteit van de sleutelpersonen gewenst/ vereist.
- 37 -
Onderwerp De noodzaak om meer dan essentiële (onvervangbare) informatie op te nemen in plannen, zoals IMP en BCP BCM Academy BSI Systems Koninklijke AHOLD NV Logica CMG Contact informatie is een essentieel onderdeel van de plannen. Deze informatie is benodigd om daadwerkelijk te kunnen starten met het bestrijden van de verstoring en de herstel van de dienstverlening. In die zin is het informatie die onvervangbaar is als deze informatie in reguliere vorm verloren zou gaan. Als de contactinformatie tijdens een verstoring niet aanwezig is, gaat er kostbare tijd verloren bij het zoeken naar deze gegevens bij een verstoring. Ook ben je bij het ontbreken van aantoonbare afspraken meer afhankelijk van de welwillendheid van leveranciers om de organisatie te helpen in een crisissituatie. Het gemis van inhoudelijke informatie in de plannen IMP en BCP , die niet op een andere wijze kunnen worden achterhaald, heeft als gevolg dat een organisatie niet snel genoeg kan reageren.
Het is belangrijk om vooraf bereikbaarheidgegevens en afspraken met leveranciers vastgelegd te hebben. Het is van belang dat genoemde gegevens beschikbaar zijn op het moment van een crisis. Op zo’n moment wil je geen kostbare tijd verloren laten gaan met het achterhalen hiervan, als dat al überhaupt lukt. Essentiële inhoudelijke informatie, die niet op andere wijze te verkrijgen is, moet aanwezig zijn bij een reactie op een verstoring. Met betrekking tot andere inhoudelijke informatie moet wel rekening gehouden worden met de beschikbare tijd die je hebt om de dienstverlening te herstellen, als je tijdens de crisis informatie of plannen opnieuw moet genereren.
Contactinformatie is essentieel om het uitrollen van onderliggende plannen te kunnen activeren. Vanuit de besturing (CMT) is het zeer belangrijk om contactinformatie inzichtelijk te hebben om de herstelteams te kunnen aansturen en hen van informatie te voorzien. Een CMT wil op het moment van een crisis snel informatie op kunnen vragen bij het bestrijden van de verstoring. Het IMP en BCP bevat naast de essentiële informatie ook andere inhoudelijke gegevens om het herstelproces snel te kunnen uitvoeren. Het zoeken naar informatie die niet voorhanden is en wel noodzakelijk is, gaat ten koste van de (kostbare) tijd.
Informatie om de sleutelpersonen te kunnen bereiken is belangrijk, maar let ook op de inhoudelijk informatie, zoals informatie over contracten waarin de behoefte aan additionele resources is geregeld Het grote probleem bij een ramp is dat mensen moeilijk te bereiken zijn. Alternatieve bereikbaarheidgegevens zijn ook van belang om mensen te kunnen bereiken. Door de globalisering van dienstverlening is juist van belang om te weten wat waar (in de wereld) draait, zodat er op een juiste wijze snel hersteld kan worden. Als die informatie niet beschikbaar is en niet snel opnieuw gegenereerd kan worden, is niet duidelijk wat hersteld moet worden. Bundel deze informatie zodanig dat er een handzaam plan ligt, waar er snel op een verstoring gereageerd kan worden en er geen kostbare tijd verloren gaat.
VKA Zowel contact als contractinformatie zijn belangrijk, maar hou ook rekening met andere elementen. Beide elementen zijn belangrijk en kunnen zeer moeilijk te achterhalen zijn op het moment van een crisis als ze niet opgenomen zijn in de plannen. Dat geldt in mindere mate voor een BCP dan voor een IMP.
Naast deze gegevens is het ook belangrijk dat er een crisis communicatieplan en prioriteitenschema op procesniveau opgenomen zijn in de plannen. Met deze plannen kun je bepalen op welke wijze de communicatie plaatsvindt ten tijde van de crisis en met het prioriteitenschema kan bepaald worden welke proces op welk tijdstip hersteld moet worden.
Conclusie Contactinformatie wordt door alle partijen beschouwd als essentiële informatie in de plannen, maar ook de aanwezigheid van contractinformatie (of informatie over afspraken) is door enkele gesprekspartners genoemd. Vooraf hebben we het uitgangspunt gehanteerd dat, niet opnieuw genereerbare informatie ten tijde van een crisis als onvervangbaar bestempeld wordt. Vrijwel alle partijen stemden in met dit uitgangspunt. De geïnterviewden meldden dat er ook andere informatie, naast informatie met een onvervangbaar karakter, in de plannen toegevoegd moet worden, die niet per sé essentieel hoeft te zijn, maar toch de snelheid van reageren bevordert omdat er op deze wijze niet lang naar gezocht hoeft te worden. Dit geldt meer voor een IMP dan een BCP, omdat de hectiek in de eerste fase van de reactie (IR) het grootst is.
- 38 -
Onderwerp De gevolgen van onzekerheid bij besluitvorming in crisistijd voor de snelheid van handelen (en andersom) BCM Academy BSI Systems Koninklijke AHOLD NV Logica CMG Hoe sneller er gehandeld wordt hoe meer tijd er is voor het vervolg, maar te snel handelen kan averechts werken. De herstelteams moeten de tijd krijgen het werk te kunnen doen. Dit betekent dat de snelheid van acteren in de IR fase belangrijk is. Echter, als er te snel wordt geacteerd zonder het verkrijgen van enige zekerheid omtrent een situatie, kunnen fouten gemaakt worden, waardoor de verstoring zich ernstiger ontwikkelt dan verwacht. Het is dus van belang om op een weloverwogen wijze te handelen.
Snelheid is goed, maar het is ook belangrijk dat er een minimale mate van zekerheid is bij het handelen. Indien te snel wordt gehandeld bestaat het risico dat dit op basis vanverkeerde besluiten gebeurt, waardoor de gevolgen van de verstoring groter kunnen worden.
Snelheid van handelen is bepalend voor de beperking van de gevolgen, maar gaat zeker niet boven het verkrijgen van zekerheid. In het IMP dient een zorgvuldig besluitvormingsproces opgenomen te worden alvorens er tot herstel overgegaan wordt. Het besluitvormingsproces heeft tot doel om de crisissituatie te doorgronden en hierop passend en naar de aard van de situatie acties te nemen.
Snelheid van handelen is belangrijk, maar daar waar mensen betrokken zijn moet er uiterst zorgvuldig gehandeld worden. Te snel handelen kan impliceren dat besluiten genomen worden door het CMT die teveel op onzekerheid zijn gebaseerd, waardoor bijvoorbeeld mensenlevens in gevaar kunnen komen.
VKA Snelheid van handelen is bepalend, mits je over de goede informatie bezit en als mensen betrokken zijn dan gaat de veiligheid van mensen altijd voor op snelheid. Het handelen in een crisissituatie vereist zorgvuldigheid van het CMT. Besluiten dienen genomen te worden op basis van goede informatie. Het CMT dient informatie te verifiëren opdat besluiten met (enige) zekerheid genomen kunnen worden.
Conclusie Snelheid gaat niet boven zekerheid en dit is omgekeerd ook niet het geval. Vrijwel alle partijen deelden dit standpunt. Het merendeel gaf aan dat er een minimaal niveau aan betrouwbaarheid van informatie nodig is, om te kunnen bepalen welk handelen gewenst is. Op grond van de reacties concluderen wij dat adequaat handelen randvoorwaardelijk is voor beheersing van de verstoring. Daarom hebben we de term ‘snelheid van adequaat handelen’ geïntroduceerd en consequent gebruikt bij de analyse in ons onderzoek.
- 39 -
Onderwerp De effecten van ‘false assumptions’ (met betrekking tot de beschikbaarheid van vereiste resources en de bruikbaarheid van de herstelvoorzieningen) BCM Academy BSI Systems Koninklijke AHOLD NV Logica CMG VKA False assumptions haal je eruit tijdens de voorbereidingen. Een plan mag nooit uitgaan van aannames. Dit betekent dat de voorbereidingen niet goed zijn gedaan. Organisaties moeten niet uitgaan van het feit dat (externe) systemen, waar hun infrastructuur van afhankelijk is, blijven functioneren tijdens een calamiteit. Maatregelen op verstoringen moeten in de volle breedte en met een hoog realiteitsgehalte worden getest om zekerheid te verkrijgen over de effectiviteit van deze maatregelen voorde reactie op een verstoring.
Niet alles is te testen, want hoe test je de gevolgen van bijvoorbeeld een overstroming? Er wordt binnen een organisatie altijd een kostenafweging gemaakt omtrent de diepgang (detaillering) van de testen. In de regel geldt hoe meer diepgang, hoe meer organisatieonderdelen hierbij betrokken zijn en hierdoor de kosten van een test hoger zijn.
Door het uitvoeren van simulatieoefeningen , het stellen van “what-if” vragen kun je zoveel als mogelijk informatie (witte vlekken) voor de plannen achterhalen. Voor maatregelen op verstoringen moet net zo lang getest worden totdat er een mate van zekerheid is dat alle witte vlekken boven water zijn gekomen. Hier kunnen dan maatregelen opgenomen worden. Dit geldt uiteraard niet voor verstoringen die expliciet uitgesloten zijn door de organisatie. Hier wordt het risico dat een dergelijke verstoring optreedt geaccepteerd.
Niet alles is te testen. Wel moeten organisaties goed in beeld brengen hoe hun kritieke dienstverlening in elkaar steekt en door te crisissituaties te oefenen, inzicht te krijgen in maatregelen die wellicht over het hoofd gezien zijn tijdens voorbereidingen. Je moet altijd op vooraf genomen maatregelen terug kunnen vallen. Tekortkomingen kunnen door middel van het houden van (uitgebreide) crisisoefeningen met een hoge realiteitsgehalte aan het licht komen. Het schort meestal aan het realiteitsgehalte van testen. Dit leidt in de praktijk tot zeer uitgebreide testen, met bijbehorende financiële consequenties. Een test wordt niet altijd op grootse wijze gedaan, terwijl dat wel in veel gevallen nodig is om zekerheid te krijgen ten aanzien van de werking van getroffen maatregelen.
Een organisatie moet kritisch zijn. Als er onzekerheid heerst omtrent maatregelen op de verstoringen, waartegen een organisatie zich wilde wapenen, moet het bijvoorbeeld nagevraagd worden bij leveranciers. Kijk met name naar de impact voor de organisatie en niet naar de verstoring zelf. Door geen aannames te doen wordt ervoor gezorgd dat de “kroonjuwelen” van de organisatie goed verzekerd blijven via BCM. Elke organisatie heeft unieke gegevens. Naast unieke gegevens zijn ook unieke kennis en procedures van een organisatie van belang. Veelal wordt verzuimd om dit allemaal in kaart te brengen en komt men daarbij het herstel naeen verstoring achter.
Conclusie Vrijwel alle partijen zien het testen als het belangrijkste middel om ‘false-assumptions’ te achterhalen, waarbij net zolang moet worden getest totdat alle false-assumptions eruit zijn gehaald. Ook wordt door enkelen de nadruk gelegd op het feit dat dit alleen goed kan bij testen met een hoog realiteitsgehalte. Wij sluiten aan bij deze stelling over het realiteitsgehalte van testen ; daarnaast hebben de gesprekken ons bewust gemaakt van het feit dat niets aan het toeval overgelaten mag worden, als het gaat om het creëren van zekerheden voor een reactie op crisissituaties.
- 40 -
Onderwerp De gevolgen van de bijzondere positie van de mens ten opzichte van de andere resources BCM Academy BSI Systems Koninklijke AHOLD NV De mens is het belangrijke bezit van een organisatie en dient vooropgesteld te worden boven de andere resources, ten tijde van een crisis. Bij een calamiteit kan de mens anders reageren dan vooraf bedacht. Het risico bestaat dat de medewerkers in een crisissituatie kiezen om bij familieleden te blijven, en daardoor niet beschikbaar zijn voor de organisatie. Dit aspect moet worden onderkend bij het maken van plannen(IMP, BCP). Als dit wordt genegeerd wordt, zal het herstel van de kritieke diensverlening vermoedelijk niet binnen de doelstellingen gerealiseerd worden. Een optie is om meerdere mensen dezelfde kennis op te laten doen die nodig is bij het herstel van de dienstverlening.
De mens moet bij een crisis in vergelijking met andere soorten resources, zonder twijfel voorop gesteld worden. Zonder de mens is er geen organisatie. Een aandachtspunt is wel dat het gedrag van de mens onvoorspelbaar kan zijn bij een crisis. Het menselijk handelen, kun je als organisatie niet controleren in stresssituaties. Organisaties zouden hiermee enigzins rekening moeten houden bij opstellen van het IMP en BCP.
Van alle resources in een organisatie heeft de mens de hoogste prioriteit, ook bij een crisis Ten opzichte van de andere resources is menselijke arbeid een bepalende factor voor de continuïteit van bedrijfkritieke processen. Organisaties moeten zich zoveel als mogelijk voorbereiden op het feit dat mensen anders acteren bij een crisis dan regulier en daarmee wellicht niet meer beschikbaar zijn voor de organisatie. Voor de vitale sectoren van een organisatie wordt deze kwestie in de voorbereidingen zoveel mogelijk meegenomen. Voor niet vitale sectoren wordt op voorhand rekening gehouden met de opvatting dat het welzijn van naasten boven dat van de onderneming wordt gesteld, ook wanneer dit tot een conflict zou leiden.
Logica CMG
VKA
Een organisatie moet rekening houden met het menselijk aspect bij crises. Organisaties moeten zoveel als mogelijk rekening houden met medewerkers die door een crisis kiezen voor het welzijn van familie/vrienden. In de voorbereidingen op de crisis moet hier aandacht aan worden besteed.
De gedragskenmerken onderscheidt de mens van andere resources. Bij het nemen van BCM maatregelen dient een organisatie rekening te houden met dit feit. Zorg er voor dat je als organisatie vooraf goed nadenkt over de beschikbaarheid en bereikbaarheid van medewerkers in geval van bv een pandemie en hier adequate maatregelen op neemt.
De mens, maar ook de kennis en ervaring is belangrijk bij het tijdig kunnen herstellen van verstoringen.
De mens staat centraal en heeft de hoogte prioriteit in crisissituaties. De mens is een onmisbaar onderdeel bij het herstel van een ernstige verstoring.
Conclusie Alle geïnterviewden bevestigden vanzelfsprekend het belang van de mens, door te melden dat de mens het belangrijkste bezit is van de organisatie en daarom in alle gevallen de hoogste prioriteit heeft in een crisissituatie. Uit de gesprekken concluderen we ook dat de mens verschilt van de andere resources doordat de mens een eigen wil heeft en dit tot uiting komt in het gedrag (en de onvoorspelbaarheid hiervan). Mede om deze reden hebben we de scope in hoofdstuk 6 enigzins bijgesteld.
- 41 -
Onderwerp Het belang van communicatie en de gevolgen van onvoldoende communicatie BCM Academy BSI Systems Koninklijke AHOLD NV Communicatie is een essentieel onderdeel van het gehele herstelproces. Een ernstige verstoring kan alleen maar effectief aangepakt worden als betrokkenen weten wat hun taken zijn en welk onderdeel zij vormen in het geheel. Als dit niet duidelijk wordt gecommuniceerd, dan is het risico op chaos groot. De reputatie van een organisatie is zeer belangrijk. Bij een crisis moet de belanghebbenden op tijd en van de juiste informatie worden voorzien. Een organisatie straalt dan uit dat de crisis op een beheerste wijze wordt geleid.
Communicatie is een goede basis voor samenwerking tussen mensen. Zonder communicatie kunnen mensen een afwachtende houding aannemen, waardoor verstoringen langer aanblijven. Daarom is het belangrijk om een ieder goed op hoogte te brengen van hun taken en daar toezicht op te houden.
Communicatie is van levensbelang in alle drie de fasen van BCM. In de IMP fase is dit vooral crisiscommunicatie, terwijl in de BCP en recovery fase het vooral om procescoördinatie gaat. In alle gevallen is het noodzakelijk communicatie lijnen vooraf vast te stellen, een woordvoerder te benoemen en communicatie te relateren aan het besluitvormingsproces. Daarnaast is communicatie naar belanghebbenden essentieel. Het behoud van de reputatie voor onze onderneming is zeer belangrijk. Als er door welke oorzaak dan ook niet geleverd kan worden, dan is dat meteen wereldnieuws en heeft dit meteen weerslag op de koers op de beurs. In geval van AHOLD zouden circa 800 bedrijven de dupe worden, omdat zij afhankelijk zijn van de levering van producten.
Logica CMG Communicatie is belangrijk voor de samenwerking. Een goede samenwerking tijdens een crisis heeft een positieve invloed op het bereiken van de gestelde doelen Bij onvoldoende communicatie gaat kostbare tijd verloren door slechte samenwerking en afstemming..
VKA Bij het bestrijden van een crisis is de communicatie essentieel, maar het is meer dan dit. . Het op de hoogte houden van de belanghebbenden is zeer belangrijk. Zij hebben dan vertrouwen dat hun belangen goed worden behartigd. Klanten kunnen weglopen als dit vertrouwen wordt geschaad. Door goede communicatie kan beschadigd vertrouwen ook weer hersteld worden, maar daar is meer voor nodig en dat vergt een lange adem.
Conclusie Onze uitgangspunt dat communicatie een belangrijk aspect is voor de samenwerking bij de reactie op een verstoring, kwam terug in het merendeel van de interviews. Enkele partijen benadrukten een tweede doel van communicatie, namelijk informeren. Het juist informeren van belanghebbenden werd gezien als essentieel om het vertrouwen op peil te houden tijdens een crisissituatie. De consequentie van het tweede doel heeft onze inzichten verbreed tav communicatie, hetgeen toegepast is in de analyse van hoofdstuk 7.
- 42 -
Onderwerp De geschiktheid van sleutelpersonen voor rollen in het kader van BCM BCM Academy BSI Systems Koninklijke AHOLD NV Goede lmanagers kunnen in een crisissituatie door de mand vallen . Door te oefenen (assesments) kun je wel de kwaliteit (stressbestendigheid, besluitvorming) van de crisismanager en andere sleutelpersonen proberen te verhogen. Door op elk niveau medewerkers op te leiden en verantwoordelijk te maken voor BCM ervoor zorgen dat BCM goed wordt ingebed in een organisatie. Hierdoor heb je op voorhand medewerkers op de posities zitten die met crisissituaties om kunnen gaan.
Niet alle managers zijn in crisissituaties de beste leiders. De BS25999 geeft ook aan dat mensen moeten worden getraind. Hierdoor kun je ervaring opdoen met crisissituaties. Gedragskenmerken kun je wellicht niet afleren, maar wel trachten hiermee om te gaan.
Crisismanagers moeten over senioriteit beschikken en deel uitmaken van het management Bij crisis gaat het over de snelheid van het besluitvormingsproces en handelen.. In de praktijk is het dus handig om iemand van het topmanagement crisismanager te maken, ondanks dat er wellicht meer van nature geschikte crisismanagers in de organisatie rondlopen.. Dan is over de senioriteit geen twijfel. Daarnaast moet management getraind worden in crisisspecifieke zaken (als stressbestendigheid) en onderdeel uitmaken van oefeningen.
Logica CMG
VKA
Crisismanagers worden veelal gekozen op gond van hun hierarchische positie. Dat hoeft geen goede keus te zijn. De hoogste in rang bepaalt dit en de keuze valt meestal op hemzelf ofhaarzelf.Voor het bezweren van een crisis is militaire discipline vereist . Dit moet in je aard zitten. De cultuur in een organisatie laat niet altijd toe dat een ander dan de CEO de leiding neemt.
Met oefening haal je de juiste leider eruit. In ‘vredestijd’ moet je als organisatie bewustwording creëren dat andere competenties zijn vereist tijdens een crisis. Door crisissituaties te oefenen, maak je dat zichtbaar en zie je wie er in zo’n situatie het best kan omgaan met de omgevingsfactoren. Dit hoeft niet altijd de leider van de organisatie te zijn, die het in de praktijk wel meestal is.
Conclusie Door de uitkomsten van de interviews voor dit onderwerp, werden we gesterkt in onze mening dat sleutelpersonen specifieke eigenschappen moeten bezitten om effectief te kunnen acteren in stressvolle situaties. Diverse partijen meldden dat omgang met onzekerheid en stress verbeterd kan worden door training; een andere manier is steunen op selectie van geschikte personen (assesments). Als het niet in je aard zit om als persoon met deze factoren om te gaan, moet overwogen worden om een iemand anders de plaats te laten overnemen. De cultuur van de organisatie laat niet altijd toe dat een crisissituatie door een ander dan de CEO geleid wordt.
- 43 -